Loclay. 2012-v01-Программа Государственного Междисциплинарного Экзамена по специальности 090103

1.1. Инфа как предмет защиты. Сущность и понятие информационной безопасности.

Понятия "инфа", "док-тированная инфа", "информационные системы и технологии", "обладатель информации". Инфа как предмет защиты.

Сущность информационной безопасности. Объекты информационной безопасности. Связь ИБ с информатизацией общества. Структура информационной безопасности. Определение понятия "информационная безопасность". Принципы и общие методы обеспечения информационной безопасности.

Инфа - сведения (сообщения, данные) независимо от формы их представления.

Док-тированная инфа - зафиксированная на материальном носителе с реквизитами, позволяющая ее идентифицировать.

Док-тирование информации является обязательным условием включения информации в информационные ресурсы.

(устанавливается гос. Органами). Информационные ресурсы -- отдельные док-ты и отдельные массивы док-тов.

Инфа как предмет защиты

Инфа в зависимости от порядка ее предоставления или распространения подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков. Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.

Защите подлежит любая док-тационная инфа, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим ЗИ устанавливается:

в отношении сведений, отнесенных к ГТ, -- уполномоченными органами на основании Закона РФ "О ГТ";

в отношении конфиденциальной док-тационной информации -- собственником информационных ресурсов или уполномоченным лицом.

в отношении персональных данных -- федеральным законом.

Сущность информационной безопасности

Определение "информационной безопасности" содержится в Доктрине ИБ РФ: "Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства".

Объекты информационной безопасности. Связь ИБ с информатизацией общества.

Для определения сущности ИБ прежде всего необходимо установить объекты, на которые она распространяется, поскольку от состава объектов зависит ее содержательная часть. В Доктрине к объектам ИБ отнесены и инфа, и информационная структура, субъекты, работающие с информацией, и системы регулирования общественных отношений, возникающих при сборе и обработке информации.

Связь ИБ с информатизацией общества.

Сущность информатизации общества в формировании такой информационной среды, в которой имелись бы все предпосылки для наиболее рационального информационного обеспечения деятельности во всех сферах общества. Информатизация является следствием общей индустриализации общества, а для дальнейшего развития общества первостепенную роль играет информационное обеспечение всех сфер жизнедеятельности, поэтому, инфа, ее переработка и использование становиться важнейшей частью народного хозяйства - информационной индустрией. Поддержание ИБ напрямую связано с обеспечением безопасности всего общества.

Определение понятия "информационная безопасность".

Требования к информации. (полнота, достоверность, своевременность): "Информационная безопасность - состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, обеспечивающее безопасность информации и защиту субъектов от негативного информационного воздействия".

Принципы и общие методы обеспечения информационной безопасности.

Общие методы обеспечения ИБ РФ разделяются на правовые, организационно-технические и экономические.

К правовым методам относится разработка норм-ых пра-ых актов, регламентирующих отношения в инф-ой сфере, и нормативных мет-их док-тов.

Организационно-техническими методами явл-ся: создание и соверш-ие системы обеспечения ИБ РФ; усиление правоприменительной дея-ти фед. органов исп. власти, органов исп. власти субъектов РФ; разработка, использование и соверш-ие СрЗИ и методов контроля эффект-и этих ср-тв, развитие защищенных телекоммуникационных систем, повышение надежности спец ПО; создание систем и средств предотвращения НСД к обрабатываемой инфе и спец. воздействий, вызывающих разрушение, уничтожение, искажение инфы, а также изменение штатных режимов функц-ия систем и средств информатизации и связи; выявление тех-их устройств и программ, сертификация СрЗИ, лицензирование деятельности в области защиты ГТ, стандартизация способов и СрЗИ; формирование системы мониторинга показателей и характеристик ИБ .

Экономические методы обеспечения ИБ РФ включают в себя: разработку программ обеспечения ИБ РФ и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов ЗИ, создание системы страхования инф-ых рисков физ. и юр. лиц.

Основные принципы:

- соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению ИБ РФ;

- открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ;

- правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;

- приоритетное развитие отечественных современных информационных и телекоммуникационных технологий/

1.2. Значение ИБ в системе национальной безопасности. Доктрина ИБ РФ.

Значение ИБ и ее место в системе национальной безопасности. Понятие и назначение доктрины информационной безопасности.

Интересы личности, общества и государства в информационной сфере. Составляющие национальных интересов в информационной сфере, пути их достижения.

Виды и состав угроз ИБ РФ. Основные положения государственной политики обеспечения информационной безопасности.

Доктрина ИБ РФ (утверждена 09.2000 г.)представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ.

Доктрина предназначена служить основой для:

- формирования государственной политики в области обеспечения ИБ РФ;

- подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ РФ;

- разработки целевых программ обеспечения ИБ РФ.

ИБ РФ - состояние защищенности ее национальных интересов в инф-ционной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

- Интересы личности: реализация конституционных прав на доступ к инф-ции, исп-е инф-ции и ЗИ в незапрещенной законом деятельности.

- Интересы общества: обеспеч-е интересов личности, создание правового социального гос-ва, духовное обновление РФ.

-Интересы гос-ва: обеспеч-е интересов личности и общества, развитие инф-ционной инфраструктуры, поддержание стабильности (политической, экономической, социальной) и развитие международного сотрудничества.

Инф-ционная сфера - совокупность инф-ции, инф-ционной инфраструктуры, субъектов (осуществляющих сбор, формирование, распростр-е и исп-е инф-ции), а также системы регулирования возникающих при этом общественных отношений.

Составляющие национальных интересов в информационной сфере, пути их достижения.

1. Обеспеч-е конституционных прав (на доступ + исп-е инф-ции); обеспеч-е духовного обновления; сохранение, укрепление культурного и научного потенциала.

- обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;

- укрепление механизма правового регулирования в области охраны интеллектуальной собственности.

- обеспечение запрета на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

2. Инф-ционное обеспеч-е гос политики, доведение достоверной инф-ции до общественности; обеспеч-е доступа граждан к открытым гос инф-ционным ресурсам.

- укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;

-интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

3. Развитие современных инф-ционных технологий, развитие отечественной индустрии инф-ции; обеспеч-е потребностей внут.рынка, выход продукции на мировой рынок, эффективное исп-е отечественных инф.ресурсов.

- развивать и совершенствовать инфраструктуру единого информационного пространства РФ;

-развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

- развивать производство в РФ конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;

-обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

4. Защита инф.ресурсов от НСД, а также обеспеч-е безопасности инф-ционных и телекоммуникационных ср-в и систем.

- повысить безопасность информационных систем.

- поддерживать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;

- обеспечить защиту сведений, составляющих ГТ;

- расширять международное сотрудничество РФ в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

Виды и состав угроз ИБ РФ.

Угрозы ИБ подразделены на 4 вида:

1) угрозы конституционным правам и свободам человека

- угрозы конституционным правам и свободам человека

- чрезмерное ограничение доступа к общественно необходимой информации;

- неисполнение органами государственной власти, требований федерального законодательства, регулирующего отношения в информационной сфере;

- неправомерное ограничение доступа граждан к открытым информационным ресурсам;

- дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

- дезинфа, сокрытие или искажение информации.

2) угрозы информационному обеспечению государственной политики РФ

- монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

- блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

- низкая эффективность информационного обеспечения государственной политики РФ вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

3) угрозы развитию отечественной индустрии информации

- противодействие доступу РФ к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий;

- закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;

- вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

- увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.

4) угрозы безопасности информационных и телекоммуникационных средств и систем.

- противоправные сбор и использование информации;

- нарушения технологии обработки информации;

- внедрение в аппаратные и программные изделия недок-тированных возможностей.

- разработка и распространение вирусов, кряков.

- несанкционированный доступ к информации, находящейся в банках и базах данных;

- нарушение законных ограничений на распространение информации.

Приоритетное направление гос политики - совершенствование правовых механизмов, регулирование общественных отношений и инф-ой сфере.

Государственная политика обеспечения ИБ РФ основывается на следующих основных принципах:

- приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.

Действия государства для реализации своих функций по обеспечению ИБ РФ:

- проводит объективный и всесторонний анализ и прогнозирование угроз ИБ РФ, разрабатывает меры по ее обеспечению;

- организует работу законодательных (представительных) и исполнительных органов государственной власти РФ по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз ИБ РФ;

- поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;

- осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;

- проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

- способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;

- формулирует и реализует государственную информационную политику России;

- организует разработку федеральной программы обеспечения ИБ РФ, объединяющей усилия государственных и негосударственных организаций в данной области;

- способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства

1.3. Сущность и понятие защиты информации.

Определение содержательной части понятия "защита информации".

Понятие о статусе информации. Формы выражения нарушения статуса информации.

Понятие уязвимости информации. Формы проявления уязвимости информации. Виды уязвимости информации. Понятия "утечка" и "разглашение" информации. Соотношение форм и видов уязвимости информации.

ЗИ (по ГОСТ 50922) - деятельность, направленная не предотвращение утечки защищаемой инф-ции, несанкционированных и непреднамеренных воздействий на защищаемую инф-цию.

ЗИ - комплекс организационных, правовых и технических мер, направленных на обеспечение безопасности и.-- конфиденциальности и целостности -- в процессе сбора, передачи, обработки и хранения. Это определение подразумевает тождественность понятий "защита информации" и "обеспечение безопасности информации".

Безопасность информации -- это свойство (состояние) передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее ее степень защищенности от дестабилизирующего воздействия внешней среды. формы.

Нарушение статуса инф-ции заключается в нарушении ее физической сохранности, структурной целостности, достоверности и доступности для правомочных пользователей.

Нарушение статуса конфиденциальной инф-ции, в том числе составляющей ГТ, дополнительно включает в себя нарушение ее конфиденциальности (закрытости для посторонних лиц).

Нарушение статуса инф-ции обусловлено ее уязвимостью, которая означает неспособность инф-ции самостоятельно противостоять преднамеренным или случайным, непосредственным или опосредованным дестабилизирующим воздействиям различными способами на носитель инф-ции или саму инф-цию со стороны определенных источников воздействия. Формы проявления уязвимости инф-ции выражают результаты дестабилизирующего воздействия на инф-цию, а виды уязвимости - конечный суммарный итог реализации форм уязвимости.

Как виды уязвимости инф-ции могут рассматриваться утрата и утечка инф-ции:

1. Утечка инф-ции - неправомерный выход инф-ции за пределы защищаемой зоны ее функционирования или установленного круга лиц вследствие разглашения инф-ции, потери носителя, хищения носителя, результатом которого является получение инф-ции лицами, не имеющим к ней санкционированного доступа. Формы уязвимости инф-ции: разглашение инф-ции, потери носителя, хищения носителя. Термин разглашение инф-ции означает несанкционированное доведение конфиденциальной инф-ции до потребителей, не имеющих права доступа к ней.

2. Утрата инф-ции - полная или частичная, временная или безвозвратная потеря носителя инф-ции, хищение или несанкционированное уничтожение носителя либо содержащейся на нем инф-ции, искажение и блокирование. Формы уязвимости инф-ции: хищение, потеря, уничтожение, искажение, разглашение, блокирование.

Наиболее опасными формами проявления уязвимости конфиденциальной инф-ции являются потеря, хищение и разглашение - первые две одновременно могут привести и к утрате, и к утечке инф-ции, вторая (хищение инф-ции при сохранности носителя) и третья могут не обнаружиться со всеми вытекающими из этого последствиями.

Подводя итог: поскольку нарушение статуса инф-ции выражается в различных формах проявления уязвимости инф-ции, а все формы сводятся к двум видам уязвимости, содержательную часть понятия ЗИ можно определить как предотвращение утраты и утечки конфиденциальной инф-ции и утраты защищаемой открытой инф-ции.

1.4. Цели и значение защиты информации. Теоретические основы защиты информации.

Определение целей защиты информации. Их отличие от задач защиты информации. Увязка целей защиты информации с защищаемой информацией и субъектами информационных отношений.

Непосредственная цель защиты информации. Опосредованные (конечные) цели защиты информации.

Основные положения теории защиты информации.

Защиты информации - деятельность по предотвращению утечки и утраты защищаемой информации.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на следующие цели:

1) обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой инф-ции; (целостность)

2) соблюдение конфиденциальности инф-ции ограниченного доступа; (конфиденциальность)

3) реализацию права на доступ к инф-ции. (доступность)

Задачами ЗИ:

- комплексное организационное построение систем ЗИ

- организация не только ЗИ, но и защиты от инфы

- предотвращение НСД к инф-ции и передачи ее лицам, не имеющим права на доступ к инф-ции;

- своевременное обнаружение фактов НСД;

- недопущение воздействия на технические ср-ва обработки инф-ции, в результате которого нарушается их функционирование;

- возможность незамедлительного восстановления инф-ции, модифицированной или уничтоженной вследствие НСД к ней;

- постоянный контроль за обеспечением уровня защищенности инф-ции.

Увязка целей защиты информации с защищаемой информацией и субъектами инф-ных отношений.

1. Целью ЗИ применительно к гос-ву, является обеспечение безопасности ГТ. ( сведения военной, внешнеполитической, экономической, контрразведовательной и оперативно-разыскной деятельности, разглашение которой может нанести ущерб России)

2. В области внешней политики ЗИ позволяет государству обеспечивать свои внешнеполитические интересы, иметь преимущества над другими государствами.

3. В военной области ЗИ позволяет сохранять в тайне от потенциального противника сведения о составе вооружения и военной технике, их количестве и тактико-технических данных (сама инф-ция, технология), о разработке новых систем оружия, об организации обороны на случай войны.

4. Применительно к интересам общ-ва, целью ЗИ является обеспечение ИБ общ-ва в обл-ти его материальной и духовной деятельности (закон о КТ, 4-ая часть ГК).

5. ЗИ в сфере экономики дает возможность получить доходы, избежать неоправданных расходов, сохранить положение на рынке (товаров, услуг и пр.) В сфере экономики ЗИ направлена, в конечном итоге, на улучшение материального положения граждан. Безопасность граждан от внешних угроз обеспечивается внешнеполитической и военной деятельностью; к тому же внешнеполитическая деятельность направлена и на улучшение экономического положения граждан. Но есть и внутриполитическая область деятельности, которая относится исключительно к социальной сфере: экология, здравоохранение, образование, материальное обеспечение. Во внутриполитической деятельности большое значение имеет правовая ЗИ, касающаяся граждан. Эта защита позволяет обеспечивать права и свободы граждан, сохранение их личной тайны, безопасность персональных данных, охрану материальной и интеллектуальной собственности, личную безопасность. В тоже время неоправданная засекреченность в этой сфере может привести к тяжелым последствиям: потери здоровья, даже смерти (Чернобыль), ухудшению материального положения (различные виды реформ), нарушению конституционных прав.

ЗИ включает в себя определенный набор методов, средств и мероприятий, а также объекты защиты, органы защиты, пользователи инф-ции. При этом защита должна представлять собой непрерывный процесс. ЗИ имеет непосредственные и опосредованные цели. Непосредственная цель - обеспечение ИБ (т.к. БИ одна из составляющих ИБ), опосредованной или общей целью ЗИ является обеспечение ИБ гос-ва, общ-ва и личности. Есть один минус ЗИ, имеющий отношение ко всем сферам деят-ти - высокие затраты на ЗИ.

Основные положения теории ЗИ

Теория ЗИ определяется как система основных идей, относящихся к ЗИ

- дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связях с другими отраслями знания,

- формирующаяся и развивающаяся на основе опыта практического решения задач защиты,

- определяющая основные ориентиры в направлении совершенствования практики ЗИ.

1. Исходным и первым положением теории ЗИ является презумпция открытости информации, кот заключается в том, что и-я должна являться общедоступной и нужны веские основания для ограничения доступа к ней

2. Базовым основанием является объективная необходимость и общественная потребность в ЗИ. Объективная необходимость ЗИ обусловлена значением и-и в современных условиях как важнейшего и наиболее ценного продукта общественного производства, осознанием того, то защита этого продукта позволяет получать значительные преимущества во всех сферах гос, обществ, и частной жизни, а из этого вытекают общественные потребности

3. Поскольку ЗИ вызывается общественными потребностями, то она должна удовлетворять эти потребности, т.е. соответствовать системе общественных отношений и быть включенной в эту систему

4. ЗИ должна соответствовать внешн и внутр политике гос-ва

5. Опосредованно ЗИ зависит и от воен-политич обстановки в мире, т.н. внешняя и частично внутренняя политика гос-ва диктуется этой обстановкой. Обострение этой обстановки заставляет гос-во принимать необходимые дополн меры по ЗИ. В первую очередь, составл-е внешне-политич и военные секреты.

6. ЗИ должна отражать политику гос-ва в области нац. без-ти и базироваться на ней. При этом ЗИ должна охватывать не только внешне-политические и военные сферы нац без-ти, но и экон, соц, информац и другие сферы.

7. ЗИ д.б. увязана с проблемами информатизации общ-ва. Требуется оптимальное сочетание необх-ти удовлет-я информационных потребностей и необходимости ограничения доступа к и-и.

8. Однако ограничение доступа к и-и должно осуществляться таким образом, чтобы не нарушались конституционные права и свободы граждан, и чтобы это не препятствовало выявлению противозаконных действий.

9. Вместе с тем ограничение доступа к и-и должно осуществляться т.о., чтобы обеспечивался баланс интересов гос-ва, общ-ва и личности.

10. Для того чтобы обеспечить реализацию предыдущих названных положений необходимо, в первую очередь, правовое законодательное регулирование основных вопросов ЗИ и взаимный контроль гос-ва и общ-ва за соблюдением требований нормативных актов. К положению о правовом регулировании и-и принесено еще один приоритет международного права над внутригосударственным. Это положение действует в том случае, когда гос-во является участником соответствующих международных соглашений. 11. ЗИ должна строиться на научной основе, иметь под собой необходимую научно-методическую базу

12. ЗИ должна содействовать повышению эффективности той области деятельности, где она применяется, а не являться обузой.

1.5. Критерии, условия и принципы отнесения информации к защищаемой.

Состав защищаемой информации. Понятия и особенности общедоступной информации и информации ограниченного доступа, параметры их защиты. Понятия защищаемой информации и конфиденциальности информации.

Критерии и условия, необходимые для отнесения информации к защищаемой.

Правовые и организационные принципы отнесения информации к конфиденциальной.

Инфа в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (инфа ограниченного доступа).

Понятие и особенности общедоступной инф-ции и инф-ции ограниченного доступа

К общедоступной инф-ции относятся общеизвестные сведения и иная инф-ция, доступ к которой не ограничен. Общедоступная инф-ция может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой инф-ции. Обладатель инф-ции, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую инф-цию, указывать себя в качестве источника такой инф-ции.

Параметры защиты: важность, полнота, адекватность, релевантность (ее потребность при решении задач) инф-ции, толерантность поступающей инф-ции (удобство восприятия и использования в процессе решения задач).

Понятие защищаемой инф-ции.

Защищаемая инф-ция: Инф-ция, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых док-тов или требованиями, устанавливаемыми собственником инф-ции. Утечка или утрата которой может нанести ущерб собственнику инф-ции или лицу, к которому она имеет отношение.

Понятие конфиденциальности инф-ции

Конфиденциальность инф-ции - обязательное для выполнения лицом, получившим доступ к определенной инф-ции, требование не передавать такую инф-цию третьим лицам без согласия ее обладателя. Сохранение в тайне от объектов, не имеющих полномочия на ознакомления с ней.

Критерии отнесения инф-ции к защищаемой - это признаки, при наличии которых инф-ция м.б. отнесена к защищаемой:

1)Неизвестность инф-ции реальному или потенциальному сопернику.

2) Получение за счет этой неизвестности преимущества над соперником или предотвращение ущерба.

3) Ценность

Условия отнесения инф-ции к защищаемой:

1) Если инф-ция не содержит сведений, которые в соответствии с законодательством запрещено относить к конф;

2) Если ЗИ возможна по техническим условиям.

3) Если затраты на ЗИ не превышают величину ущерба, который может произойти при ее незащищенности.

4) Если инф-ция не является общеизвестной.

5) Если для ее защиты есть кадровые и материальные ресурсы.

Состав защищаемой инф-ции определяется ее собственником. При этом он должен соблюдать принципы: (ГТ (1-3), КТ)

1)законность отнесения инф-ции к защищенной

2)обоснованность отнесения инф. к защищаемой устанавливается путем экспертной оценки целесообразности отнесения

3)своевременность определения состава защищаемой инф-ции, этот принцип заключается в установлении состава защищаемой инф-ции и ограничение на ее распространение с момента появления такой инф-ции или заблаговременно

4)соблюдение балансов интересов гос-ва, общества и граждан.

5)приоритет международного права над внутренним

6)подчиненность ведомств-х интересов к гос-м

7)своевременность перевода защ-ой инф-ции в открытую

Основные виды тайн: государственная, коммерческая, профессиональная, личная и семейная тайны, персональные данные.

1.6. Классификация конфиденциальной информации по видам тайны.

Понятие "тайна информации". Виды охраняемой законом тайны и их особенности.

Понятие и критерии отнесения информации к ГТ, к служебной тайне, к КТ, профессиональной тайне и персональным данным.

Тайна - нечто скрываемое от других, известное не всем.

Основные виды тайн: государственная, коммерческая, служебная, профессиональная, персональные данные, личная и семейная тайны.

Методологическими подходами к определению любого вида тайны должны являться:

1) обозначение собственника;

2) установление областей деятельности, в которых может быть инфа, составляющая данный вид тайны;

3) определено кто защищает данный вид информации; 4) даны критерии (показатели) отнесения информации к данному виду тайн.

ГТ

В законе "о ГТ": это сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Основаниями для отнесения сведений к ГТ должны являться:

1) общие критерии и принципы отнесения информации к защищаемой;

2) определение понятия ГТ, в котором обозначены области государственной деятельности, где может содержаться инфа, содержащая ГТ и дан показатель (критерий) такого отнесения;

3) содержащийся в ст. 5 закона "О ГТ" перечень сведений, составляющих ГТ.

Существуют 2 организационно-правовые формы отнесения информации к ГТ:

1) Отнесение на основе специально принимаемых мер по мере необходимости полномочных на то ведомств; 2) Отнесение в соответствии с заранее разработанными перечнями сведений, подлежащих засекречиванию.

КТ связана с коммерческой деятельностью.

КТ - вид тайны, включающий защищаемую предпринимателем информацию в любой области его коммерческой деятельности, утечка или утрата которой может нанести ущерб предпринимателю (или доступ к которой ограничивается в интересах предпринимателя)..

Основаниями для отнесения сведений к КТ должны являться:

1) общие критерии и принципы отнесения информации к защищаемой;

2) определение понятия КТ, из которой следует, что эти сведения могут быть в любой области предпринимательской деятельности;

3) государственные нормативные акты по вопросам защиты КТ. Нормативными док-тами установлено, что перечень сведений, составляющих КТ, определяется руководителем предприятия.

Решающую роль при отнесении сведений играют 3 показателя:

1) потенциальный ущерб;

2) упущенная выгода;

3) соразмерность затрат на ее защиту.

Перечень сведений, составляющих КТ, утверждается руководителем, который должен кроме того утвердить перечень должностных лиц, уполномоченных относить информацию к КТ в соответствии с перечнем.

Снятие степени конфиденциальности с такой информации должно производиться службой ЗИ по истечению срока конфиденциальности или спец комиссией, если срок не был установлен. Таким образом, исходной предпосылкой наличия КТ является конкуренция, т.к. в состав КТ включаются те сведения, которые наносят ущерб при попадании их к конкурентам.

Служебная тайна - вид тайны, включающий защищаемую органами государственной власти, местного самоуправления и подведомственными им предприятиями информацию конф характера, утечка или утрата которой может нанести ущерб ее собственнику (доступ к которой ограничен). Концовка определения после слова "может" в другом варианте может звучать и так: "оказать отрицательные воздействия на престиж собственника информации, нанести ему моральный и материальный ущерб".

Главный отличительный признак профессиональной тайны состоит в том, что ее сферой является защита чужих тайн, полученных в процессе осуществления профессиональной деятельности, не связанной с госслужбой соответствующими юридическими и физическими лицами. С одной стороны, это защита государственной, коммерческой или служебной тайны других юридических лиц, которая стала известна данной службе или лицу в ходе выполнения его служебных обязанностей ( налоговая инспекция). С другой стороны - это защита личной тайны граждан, которая становится известной соответствующим службам и лицам в силу выполнения ими своих профессиональных функций. Исходя из изложенного можно дать определение:

Профессиональная тайна - вид тайны, включающий защищаемую полномочными, юр. или физ. лицами инфу, состав-ю любой вид тайны других физ. и юр. лиц, кот. получена в результате осущ-я проф. деятельности.

Таким образом, ПТ является не тайной определенной отнесенной к этому виду тайны информации, а обобщенным понятием включающим другие виды тайны, если они становятся достоянием уполномоченных на то юридических и физических лиц, не являющихся собственниками этих видов тайн.

С одной стороны, это защита государственной, коммерческой или служебной тайны других юридических лиц, которая стала известна данной службе или лицу в ходе выполнения его служебных обязанностей (налоговая инспекция). С другой стороны - это защита личной тайны граждан, которая становится известной соответствующим службам и лицам в силу выполнения ими своих профессиональных функций. (тайная страхования, врачебная, нотариальная, исповеди, адвокатская, связи и т.п.)

Персональные данные - любая инфа, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации лицу (субъекту ПД): Ф.И.О., дата и место рождение, адрес, семейное положение, образование, профессия, социальное положение. Лицо ПД принимает решение о предоставлении ПД и дает согласие на из обработку добровольно, за исключением случаев обязательного предоставления своих ПД в целях защиты основ конституционного строя, прав собственника, здоровья, прав и интересов других лиц, обеспечения обороны и безопасности страны.

Личная тайна - вид тайны, включающий защищаемую физлицом и (или) уполномоченными на то юридическими и физическими лицами инф-цию о частной жизни данного физлица, утечка или утрата которой может нанести ущерб этому лицу.

Семейная тайна - вид тайны, включающий защищаемую физлицом и (или) уполномоченными на то юридическими и физическими лицами инф-цию о частной жизни данного физлица, утечка или утрата которой может нанести ущерб членам семьи.

1.7. Классификация носителей защищаемой информации.

Понятие "носитель защищаемой информации". Соотношение между носителем и источником информации.

Виды и типы носителей защищаемой информации. Способы фиксирования информации в носителях. Виды отображения информации в носителях. Методы воспроизведения отображенной в носителях информации. Опосредованные носители защищаемой информации.

Носитель информации - физическое лицо или материальный объект в котором инфа находит своё отражение в виде символов, сигналов и процессов.

Самым важным носителем в современном мире является человек - его мозг.

Вторым наиболее важным носителем являются письменные носители которые делятся на несколько категорий:

-- На бумажной основе

-- На магнитной основе

-- На плёночной основе

-- На оптической основе

Третьим видом носителей является выпускаемая продукция - изделия.

Четвёртым видом носителей являются технологические процессы. Процесс производства и всё что с ним связано.Инфа отображается в виде технических процессов.

Пятым видом являются электромагнитные поля, источниками которых являются ЭВМ и другие средства. Они создают акустические, электромагнитные, звуковые и друие виды излучений.

Помимо явных носителей ещё выделяют таки носители где инфа отображена опосредованно. К ним относят:

1)Объекты содержащие следы защищаемой информации

-- отходы производства(мусор)

-- воздух с изменённым радиационным фоном

-- воду, почву содержащие осадки производства

2)Формы, размеры и особенности строения продукции.

По этим следам можно получить информацию о характере предприятия и выпускаемой продукции.

Отображённая в носителях инфа может быть воспроизведена пётом просмотра или прослушивания.

1.8. Понятие и структура угроз информации.

Понятие угрозы информации. Связь угрозы информации с уязвимостью информации. Признаки и составляющие угрозы: явления, факторы, условия.

Структура явлений как сущностных проявлений угрозы информации. Структура факторов, создающих возможность дестабилизирующего воздействия на информацию.

Угроза защищаемой информации - совокупность явлений, факторов и условий, создающих опасность статуса нарушения информации.

Уязвимость информации - неспособность информации самостоятельно противостоять дестабилизирующим воздействиям

Угроза связана с уязвимостью информации. Реализация угроз приводит к одной или нескольким формам проявления уязвимости. Формам уязвимости присущи определенные угрозы с набором соответствующих компонентов. Структура угроз предопределяет форму проявления уязвимости.

Признаки и составляющие угрозы:

Угроза имеет сущностные проявления. Следовательно, явление - признак и составляющая угрозы. Явления имеют предпосылки - факторы, создающие возможность дестабилизирующего воздействия на информацию.

Наличие условий для дестабилизирующего воздействия.

Определяющий признак - направленность угрозы.

Признаки угрозы выражают ее суть, но не раскрывают структуру. Для раскрытия структуры необходимо эти признаки конкретизировать.

К явлениям относятся:

Источники дестабилизирующего воздействия на информацию.

Виды дестабилизирующего воздействия.

Способы дестабилизирующего воздействия.

К факторам, помимо причин и обстоятельств, относятся наличие каналов и методов несанкционированного доступа к информации, наличие ограниченного доступа со стороны не имеющих к этой информации разрешенного доступа лиц.

Любая угроза не сводится к чему-то однозначному, она состоит из определенных взаимосвязанных компонентов, каждый из которых сам по себе не создает угрозу, но является неотъемлемой её частью. Угроза же возникает лишь при совокупном их взаимодействии.

В основе явления лежат причины, которые являются его движущей силой и которые в свою очередь обусловлены определенными обстоятельствами (предпосылками). Эти причины и обстоятельства относятся к факторам, создающим возможность дестабилизирующего воздействия на информацию. Таким образом, факторы являются еще одним признаком и еще одним составляющим угрозы. Вместе с тем факторы могут стать побудительной силой для явления, а явление "сработает" лишь при наличии определенных условий. Наличие условий для дестабилизирующего воздействия на информацию является 3-м признаком и 3-м составляющим угрозы. Еще одним определяющим признаком угрозы является ее направленность результат которой может привести к дестабилизации. Таким результатом во всех случаях реализации угрозы является нарушение статуса информации.

1.9. Источники, виды и способы дестабилизирующего воздействия на информацию.

Источники дестабилизирующего воздействия на информацию как структурная часть угрозы. Состав и характеристика источников дестабилизирующего воздействия на информацию.

Виды и способы дестабилизирующего воздействия на информацию со стороны различных источников. Соотношение видов дестабилизирующего воздействия на информацию с формами проявления уязвимости информации.

Источники дестабилизирующего воздействия на информацию как структурная часть угрозы.

Дестабилизирующее воздействие на защищаемую информацию - воздействие, приводящее к нарушению статуса информации.

Источник дестабилизирующего воздействия относится к явлению угрозы защищаемой информации, а также является исходным, т.к. от его состава зависит вид, способ и конечный результат воздействия на защищаемую информацию.

Люди - самый распространенный, многообразный и опасный (массовый) источник. Самым многообразным этот источник является, т.к. воздействие на И могут оказывать люди, как имеющие доступ к данной И, так и не имеющие такового, как работающие на предприятии, так и не работающие на предприятии. Самым многообразным этот источник является по видам ДВ. Он охватывает все виды ДВ. Самый опасный, т.к. ему присуще значительно большее кол-во способов ДВ и эти способы в совокупности приводят практически ко всем 6 формам уязвимости.

Технические средства отображения, хранения, обработки, воспроизведения, передачи информации, средства связи. Технические средства- многообразие способов дестабилизирующего воздействия. К ним относятся электронно-вычислительная техника, электрические и автоматические пишущие машины, копировальная техника, аудио и видеотехника, средства телефонной, телеграфной и громкоговорящей передачи информации, средства радиовещания и телевидения, средства радио- и кабельной связи.

Системы обеспечения функционирования технических средств. Это системы электро-, водо-, теплоснабжения, кондиционирования. К этому источнику примыкают вспомогательные электрические и радиоэлектронные средства (часы, приемники и др.)

Технологические процессы. Технологические процессы объектов ядерной энергетики, химической промышленности, радиоэлектроники, а также объектов по изготовлению некоторых видов вооружения и военной техники, которые изменяют естественную структуру окружающей объект среды.

Природные явления. Стихийные бедствия и атмосферные явления. В зависимости от источника и вида воздействия оно может быть непосредственно либо опосредованным.

ВИДЫ ДВ со стороны различных источников:

Со стороны людей: а) непосредственное воздействие на носитель защищаемой информации; б) несанкционированное распространение информации; в) вывод из строя тех средств; г) нарушение режима работы перечисленных средств и технологии обработки информации; д) вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

Со стороны технических средств: а) выход из строя; б) сбои в работе; в) создание эл/м излучений.

Со стороны систем обеспечения: а) выход из строя; б) сбои в работе.

Со стороны технологических процессов - изменение структуры окружающей среды.

Природные явления - стихийные бедствия (являются одновременно и видами воздействия): землетрясения, наводнения, ураганы, штормы; - атмосферные явления: гроза, дождь, снег, перепады температуры и влажности, магнитные бури.

1. Способы дестабилизирующего воздействия на информацию со стороны людей.

1. Непосредственное воздействие на носитель: физическое изменение носителя; создание аварийных систем для носителей; удаление информации с носителя; создание искусственных магнитных полей для размагничивания носителя; внесение фальсифицированной информации. Приводят к уничтожению, искажению, блокированию. Сюда же можно отнести случайное оставление носителей в неохраняемой зоне.

2. Несанкционированное распространение конф. инф-и: словесная передача информации; передача носителей или снимков; показ носителей информации; ввод информации в вычислительные сети; использование информации в публичных выступлениях; потеря носителя информации. Приводит к разглашению, потери и уничтожению.

3. Вывод из строя технических средств обработки, хранения, отображения, воспроизведения и передачи конф. инф-и: неправильный монтаж средств; поломка, разрушение; создание аварийных ситуаций для средств; отключение средств от сетей питания; вывод из строя или нарушение режима работы систем обеспечения; вмонтирование закладок. Приводят к уничтожению, искажению и блокированию.

4. Нарушение режима работы средств и технологии обработки инф-и: повреждения отдельных элементов средств; нарушение правил эксплуатации; внесение изменений в порядок обработки информации; заражение вредоносными программами; выдача неправильных программных команд; превышение расчетного числа запросов; создание помех в радиоэфире; передача ложных сигналов; подключение подавляющих фильтров в электронные цепи; нарушение режима работы систем обеспечения функционирования средств. Приводят к уничтожению, искажению и блокированию.

5. Вывод из строя и нарушения режима работы систем обеспечения функционирования средств: неправильный монтаж систем; поломка или разрушение; создание аварийных ситуаций; отключение систем от источников питания; нарушение правил эксплуатации систем. Приводит уничтожению, искажению и блокированию.

2.Способы дестабилизирующего воздействия со стороны техсредств.

Выход средств из строя, приводящий к невозможности выполнения операций, может происходить: при технической поломке, аварии без вмешательства людей; при возгораниях, затоплении; при выходе из строя систем обеспечения; при природных явлениях; при измененной структуре окружающего магнитного поля; при заражении программ закладками; при разрушении или повреждении носителя. Формы проявления уязвимости: уничтожение, искажение, блокирование.

4.Сбои: возникновение неисправностей; заражение программ закладками; природные явления; магнитное поле; размагничивание носителя; нарушение режима функционирования системы обеспечения. Приводят к уничтожению, искажению, блокированию, разглашению.

5.Электромагнитные излучения (в т.ч. ПЭМИН) приводят к хищению информации.

3.Системы обеспечения

Выход из строя: поломка, авария, возгорание, затопление; выход из строя системы питания; природные явления. ? уничтожение, блокирование, искажение.

Сбои в работе: проявление технических неисправностей; воздействие природных явлений; нарушение режима работы источника питания. ? уничтожение, блокировка, искажение.

4. Технологические процессы

изменение естественного радиационного фона окружающей среды, происходящего при функционировании объектов атомной энергетики;

изменение химического состава окружающей среды;

изменение локальной структуры магнитного поля.

? хищение конфиденциальной информации.

Природные явления

разрушение, затопление, сожжение носителей информации, средств отображения, ..., ... информации и кабельных средств связи, систем обеспечения; нарушение режима работы средств и систем, а также технологии обработки. ? потеря, уничтожение, блокирование, хищение, искажение

1.10. Причины, обстоятельства и условия дестабилизирующего воздействия на информацию.

Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию, их обусловленность источниками и видами воздействия.

Причины, вызывающие преднамеренное и непреднамеренное дестабилизирующее воздействие на информацию со стороны людей. Обстоятельства (предпосылки), способствующие появлению этих причин. Условия, создающие возможность для дестабилизирующего воздействия на информацию. Причины, обстоятельства и условия дестабилизирующего воздействия на информацию со стороны других источников воздействия.

Угроза должна иметь какие-то сущностные проявления. Следовательно, одним из признаков и вместе с тем одной из составляющих угрозы должны быть явления. В основе любого явления лежат соответствующие причины, которые являются его движущей силой и которые обусловлены определенными обстоятельствами и предпосылками. К явлениям, т.е. сущностным проявлениям угрозы, относятся: источники дестабилизирующего воздействия на информацию (от кого/чего исходит дестаб.воздействие); виды дестаб. воздействия на инф-ю (каким образом, по каким направлениям происходит дестаб.воздействие); способы дестаб.воздействия на инф-ю (какими приемами, действиями осуществляются виды дестаб.воздействия. Одним из источников дест. возд. являются люди - самый распространенный, многообразный и опасный источник дестаб.воздействия на информацию. Причины, обстоятельства (предпосылки) и условия привязаны к источникам воздействия. Применительно к людям причины, обстоятельства и условия в большинстве случаев увязаны еще и с характером воздействия - преднамеренным или непреднамеренным.

К причинам, вызывающим преднамеренное дестабилизирующее воздействия, следует отнести: стремление получить материальную выгоду, стремление нанести вред (отомстить) руководству или коллеге по работе, а иногда и государству, стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы, стремление продвинуться по службе, стремление обезопасить себя, родных и близких от угроз, шантажа, насилия, стремление показать свою значимость. Обстоятельствами, способствующими появлению этих причин, могут быть: тяжелое материальное положение, корыстолюбие, алчность, склонность к развлечениям, пьянству, наркотикам, зависть, обида, недовольство государственным строем, политическое или научное инакомыслие, личные связи с представителями конкурента, недовольство служебным положением, карьеризм, трусость, страх, тщеславие, самомнение, завышенная самооценка, хвастовство. Условиями, создающими возможность дестабилизирующего воздействия, чаще всего являются: Недостаточность мер, предпринимаемых для защиты информации, в том числе по причине нехватки ресурсов, Неверная направленность действий администрации и подразделения безопасности в области защиты информации. Упущение из виду одного или нескольких направлений возможного дестабилизирующего воздействия на информацию. Недостаточное внимание и контроль, уделяемые защите информации со стороны администрации. Принятие решение по производственным вопросам без учета требований по защите информации. Плохие отношения между сотрудниками, а также между сотрудниками и администрацией, службой безопасности.

Причинами непреднамеренного дестабилизирующего воздействия на информацию могут быть: неквалифицированное выполнение операций; халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе; небрежность, неосторожность, неаккуратность; физическое недомогание (болезни, переутомление, стресс, апатия).

Обстоятельствами (предпосылками) появления этих причин могут стать: низкий уровень профессиональной подготовки сотрудника; излишняя болтливость, привычка делиться опытом, давать советы; незаинтересованность в работе и в сохранении этой позиции за собой (вид работы, ее временный характер, зарплата, бытовые условия), отсутствие стимулов для ее совершенствования; разочарованность в своих возможностях и способностях; перегруженность работой, срочность ее выполнения, нарушение режима работы; плохое отношение со стороны администрации.

Для реализации непреднамеренного дестабилизирующего воздействия на информацию необходимы условия, которыми могут являться: отсутствие или низкое качество правил работы с защищаемой информацией; незнание или нарушение правил работы с информацией сотрудниками; недостаточный контроль со стороны администрации за соблюдением режима конфиденциальности; недостаточное внимание со стороны администрации условиям работы, профилактике заболеваний, обучению персонала, повышению квалификации.

Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи могут быть: недостаток или низкое качество средств, низкое качество режима функционирования средств, перезагруженность средств, низкое качество технологии выполнения работ, дестабилизирующее воздействие на средства со стороны других источников воздействия.

К обстоятельствам, вызывающим эти причины, следует отнести: недостаточность финансовых ресурсов, выделяемых на приобретение и эксплуатацию средств, плохой выбор средств, старение и износ средств, конструктивные недоработки или ошибки при монтаже средств, ошибки при разработке технологии выполнения работ, в том числе программного обеспечения, дефекты используемых материалов, чрезмерный объем обрабатываемой информации, причины, лежащие в основе дестабилизирующего воздействия на средства со стороны других источников воздействия.

Условиями, обеспечивающими реализацию дестабилизирующего воздействия на информацию со стороны технических средств, могут являться: недостаточное внимание к составу и качеству средств со стороны администрации, нередко из-за недопонимания их значения, нерегулярный профилактический осмотр средств, низкое качество обслуживания средств. Причины, обстоятельства и условия дестаб. воздействия на информацию со стороны систем обеспечения функционирования средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи вписываются в причины и обстоятельства воздействия со стороны самих средств.

Причиной дестабилизирующего воздействия на информацию со стороны технологических процессов отдельных промышленных объектов является специфика технологии, обстоятельством - необходимость такой технологии, а условием - отсутствие возможностей противодействия изменению структуры окружающей среды.

В основе дестаб. воздействия на информацию со стороны природных явлений заложены внутренние причины и обстоятельства, неподконтрольные людям, а следовательно, и не поддающиеся нейтрализации или устранению.

1.11. Каналы и методы несанкционированного доступа к информации.

Понятие канала несанкционированного доступа к информации. Канал несанкционированного доступа к информации как составная часть угрозы информации. Соотношение между каналами несанкционированного доступа и каналами утечки информации.

Состав и характеристика каналов несанкционированного доступа к информации. Специально создаваемые и потенциально существующие каналы.

Методы и формы несанкционированного доступа к информации, применяемые при использовании каждого канала.

Угроза инф-ции - совокупность явлений, факторов и условий, создающих опасность нарушения статуса инф-ции.

НСД - это доступ к инф-ции или действия с инф-цией, нарушающие правила разграничения доступа с использованием штатных ср-в, предоставляемых ср-вами вычислительной техники или автоматизированными системами. Иными словами, это преднамеренный или случайный доступ к инф-ции, не разрешенный в установленном порядке.

Канал НСД - путь, используя который, можно получить неразрешенный преднамеренный или случайный доступ к инф-ции для оказания дест.возд. со стороны лиц, не имеющих права на доступ к информации. Приводит к: хищению, уничтожению, искажению, блокированию и разглашению.

Утечка конф-ных сведений - неправомерный выход инф-ции за пределы допустимой зоны её функционирования или установленного круга лиц, имеющих право осуществлять к ней санкционированный доступ. Происходит в результате разглашения сведений, потери или хищения носителя. Утечка проявляется в разглашении, утере или хищении носителя.

? 2 принципиальных различия между понятиями "НСД" и "утечка конфиденциальной информации":

-- утечка конфид. И происходит от носителя (источника) к лицам, не имеющим доступа к информации; НСД осуществляется от лиц, не имеющих доступа к защищаемой информации, к носителям;

-- утечка ограничивается тремя формами проявления уязвимости: разглашением, потерей носителя, хищением носителя или информации; НСД может привести к хищению, уничтожению, искажению, блокированию, разглашению.

Состав и характеристика каналов несанкционированного доступа к информации.

К каналам НСД к конфиденциальной информации относятся:

К-1. Установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.

К-2. Вербовка и/или внедрение агентов.

К-3. Организация физического проникновения к носителям конфиденциальной информации.

К-4.Организация физического проникновения к средствам хранения, обработки, воспроизведения, передачи информации и системам обеспечения функционирования этих средств.

К-5. Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации.

К-6. Подключение к системам обеспечения функционирования перечисленных средств.

К-7. Прослушивание КИ.

К-8. Визуальный съем КИ.

К-9. Перехват э-м излучений.

К-10. Замеры и взятие проб окружающей объект среды.

К-11. Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации.

К-12. Изучение доступных источников информации.

К-13. Анализ архитектурных особенностей некоторых категорий объектов.

? Канал включает объект и направление воздействия. Сам по себе объект не является каналом.

Специально создаваемые и потенциально существующие каналы.

К специально создаваемым относятся:

К-1. Установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.

К-2. Вербовка и/или внедрение агентов.

К-3. Организация физического проникновения к носителям конфиденциальной информации.

К-5. Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации.

К-6. Подключение к системам обеспечения функционирования перечисленных средств.

К потенциально существующим каналам относятся:

К-7. Прослушивание КИ.

К-8. Визуальный съем КИ.

К-9. Перехват э-м излучений.

К-10. Замеры и взятие проб окружающей объект среды.

К-11. Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации.

К-12. Изучение доступных источников информации.

К-13. Анализ архитектурных особенностей некоторых категорий объектов.

Методы и формы несанкционированного доступа к информации, применяемые при использовании каждого канала.

Самым распространенным и разнообразным по методам НСД, а потому и самым опасным каналом является К-1. При этом используются различные методы:

-- Наиболее распространенным является метод выведывания информации под благовидным предлогом:

-- Действительный прием на работу или переманивание, одной из целей которого является получение от лица КИ, относящейся к прежнему месту его работы.

-- Разовая покупка КИ.

-- Принуждение к выдаче КИ шантажом, угрозами, применением физического насилия.

-- Склонение к выдаче КИ убеждением, лестью, посулами, обманом, в т.ч. с использованием национальных, религиозных, политических факторов.

К-2: Вербовка и/или внедрение агентов является вторым по степени опасности каналом.

. Несанкционированные способы получения информации, не относящейся к их служебной деятельности:

-- ознакомление с док-тами, находящимися на рабочих местах других сотрудников, в т.ч. с дисплея, фотографированием, как в отсутствие, так и при сотрудниках;

-- осмотр доступной продукции, наблюдение за технологическим процессом;

-- считывание информации в массивах других пользователей, в т.ч. с использованием паролей и терминалов этих пользователей;

-- подслушивание разговоров, в т.ч. телефонных, напрямую или с использованием радиозакладок;

-- прослушивание проводимых на предприятии публичных выступлений;

-- участие в различного рода комиссиях, общественных объединениях, использующих конф. информацию;

-- кража носителей информации, в т.ч. с использованием дубликатов ключей от сейфов или шкафов.

Другое ДВ на информацию может осуществляться агентами с использованием видов и способов ДВ на информацию со стороны людей.

К-3: При проникновении на территорию применяются следующие методы:

-- использование подложного, украденного или купленного док-та (пропуска);

-- маскировка под другое лицо;

-- проход под видом внешнего обслуживающего персонала;

-- проезд спрятанным в автотранспорте;

-- отвлечение внимания охраны для прохода незамеченным;

-- изоляция или уничтожение охраны (в исключительных случаях);

-- преодоление заграждающих барьеров, минуя охрану, в т.ч. и за счет вывода из строя технических средств охраны.

К-4: По применяемым методам практически не отличается от третьего канала.

К-5: Подключение может осуществл. на территории объекта и вне ее. Несанк. подключение и ? НСД к КИ может производиться:

-- с ПК с использ. телеф. набора или с несанкц. терминала со взломом или без взлома парольной защиты.

-- с помощью закладных устройств.

-- с помощью прямого подсоединения к кабельным линиям связи, в т.ч. с исп. параллельных телеф. аппаратов.

-- за счет ПЭМИН на параллельно проложенные провода и методов ВЧ навязывания.

К-6: замеры потребления эл.энергии и воды.

-- подключение к цепям питания и заземления.

К-7: подслушивание непосредственных разговоров лиц, допущенных к данной информации.

-- прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к ср-вам воспроизведения, передачи, связи.

К-8: чтение док-тов на рабочих местах пользователей, в т.ч. с дисплеев, печатных устройств как в присутствии, так и в отсутствие пользователей.

-- осмотр продукции, наблюдение за технологическим процессом производства.

-- просмотр информации, воспроизводимой средствами видео и телевидения.

-- чтение текста, печатаемого на пиш. машинках и печатаемого копирами.

-- наблюдением за технологическими процессами изготовления, обработки, размножения информации.

-- считывание информации в массивах других пользователей, в т.ч. остаточной.

К-9: Методами перехвата являются:

-- выделение нужных сигналов;

-- съем информации;

-- обработка и анализ данных.

К-10: замеры уровня радиационного поля;

-- замеры структуры магнитного поля;

-- взятие проб воздуха, почвы, воды, снега, донных отложений, растений и исследование их или содержащихся на них осадков на предмет химического и биологического состава.

К-11: приобретение и разборка выпускаемых изделий, их химический/физический анализ (обратный инжиниринг).

-- сбор и изучение остатков боевой и испытательной техники на полигонах, макетов изделий, сломанных, бракованных изделий, их узлов, блоков, созданных на стадии конструкторской разработки, а также руды и шлаков.

-- сбор и прочтение черновиков и проектов конфиденциальных док-тов, копировальной бумаги, красящей ленты, дискет.

К-12: изучение научных публикаций, содержащихся в специализированных журналах/сборниках.

-- просмотр /прослушивание СМИ.

-- изучение проспектов и каталогов выставок.

-- прослушивание публичных выступлений на семинарах, конференциях и др. публичных мероприятиях.

-- изучение банков данных о предприятиях, формируемых специализированными коммерческими структурами.

К-13: имеет самые ограниченные возможности, поскольку базируется на использовании определенных признаков использующих отдельные категории архитектуры объектов, позволяющие сделать вывод о характере объекта, технологии изготовления продукции и объеме выпуска.

1.12. Направления, виды и особенности деятельности разведывательных служб по несанкционированному доступу к информации.

Структура государственных разведывательных органов ведущих зарубежных стран. Особенности политической, военной, радиотехнической и других направлений разведывательной деятельности.

Структура разведывательных служб частных организаций. Виды разведывательной деятельности, их соотношение и взаимосвязь.

В настоящий момент практически все государства имеют систему органов разведывательных органов двух видов:

-- Самостоятельные(подчиняются непосредственно главе государства)

-- В ставе министерств и ведомств

1.Разведорганы США:

Руководство осуществляет президент страны.

Управление органами осуществляется через Совет Национальной Безопасности.

В СНБ входят: вице президент, руководители ведущих ведомств, директор ЦРУ.

Директор ЦРУ является главным советником президента.

ЦРУ является основным разведывательным органом США. Является координатором и других органов разведки США.

Также имеются различные разведслужбы минестерства обороны США:

-- Разведывательное управление МО (РУМО)

-- Агенство национальной безопасности (АНБ)

-- Национальное управление воздушно-космической разведки

2.Разведорганы Англии:

Руководство деятельностью разведки осуществляет объединённый разведывательный комитет.

Комитет безопасности осуществляет взаимодействие между разведывательными органами и службой безопасности.

3.Разведорганы Франции:

К числу основных органов относятся:

-- Комитет обороны возглавляемый президентом

-- Межминистерский комитет возглавляемый премьер-министром

Основным разведорганом является Главное управление внешней безопасностью

4.Разведорганы Германии

Управление разведкой осуществляется ведомством федерального канцлера через подчинённый ему кабинет государственных секретарей. Этот орган определяет основные задачи разведки, координирует деятельность всех органов разведки, контрразведки и полиции.

А основным разведорганом является федеральная разведывательная служба.

Также помимо государственных разведслужб имеются разведывательные службы частных объединений.

По структуре можно выделить 3 категории:

-- разведслужбы в составе подразделений безопасности предприятий

-- самостоятельные разведовательные подразделения в составе предприятий

-- специализированные разведслужбы являющиеся самостоятельными предприятиями

Направление и виды разведывательной деятельности

Деятельность разведорганов охватывает 3 направления:

-- политическое

-- экономическое

-- военное

Виды(область разведдеятельности):

-- агентурная(осуществляется скрытыми противозаконными методами)

-- легальная(осуществляется открытыми законными способами)

-- техническая(тайно или открыто с помощью тех.средств)

Особенности деятельности:

-- использование всех возможных каналов, методов и средств доступа к информации

-- работа под прикрытием

1.13. Организационные основы и методологические принципы защиты информации.

Организационные основы как необходимые условия для осуществления защиты информации.

Значение методологических принципов защиты информации. Принципы, обусловленные принадлежностью, ценностью, конфиденциальностью, технологией защиты информации.

1. Методологические принципы защиты информации.

Принципы защиты информации - это основополагающие идеи, важнейшие рекомендации по организации и осуществлению этой деятельности на различных этапах решения задач сохранения секретов. Они учитываются при создании нормативной базы защиты информации, и даже более -- закладываются в качестве норм в законах и подзаконных актах и, следовательно, приобретают обязательный для исполнителей характер.

Принципы защиты информации можно разделить на три группы: правовые, организационные и используемые при защите информации от ТСР и в средствах вычислительной техники (СВТ).

ПРАВОВЫЕ ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ.

Основными правовыми принципами защиты информации, являются следующие:

1. Принцип законности. В рамках долженствующего существования правового государства деятельность предприятий и организаций всех форм собственности, всех должностных лиц и граждан должна осуществляться в рамках действующих законов.

Принцип законности в области защиты информации выражается прежде всего в том, что необходимо нормативно-правовое регулирование этой важной области общественных отношений в государстве. Законодательно должны быть:

-- обозначены права различных субъектов в области защиты информации, на засекречивание информации и установление правил ее защиты;

-- определено, что является государственной, коммерческой, иной охраняемой законом тайной;

-- установлена уголовная, административная, материальная, моральная ответственность за незаконное покушение на защищаемую информацию и разглашение или передачу такой информации кому-либо, вследствие чего наступили или могли наступить вредные последствия для собственника (владельца) информации.

2. Принцип одинаковой секретности будет способствовать укреплению мер доверия в международных отношениях, помогать устранению асимметрии режимных ограничений, сложившихся в различных странах. Излишнее стремление по сокрытию информации от другой стороны всегда вызывает подозрение, так как такие действия обычно связывают с недобрыми намерениями одной стороны по отношению к другой.

4. Принцип собственности и экономической целесообразности.

Секретность должна оцениваться как потребительское свойство и ее стоимость должна включаться в цену производимого продукта, за счет которой владельцем и будут осуществляться мероприятия, обеспечивающие режим секретности. Секретность должна быть экономической категорией, и ее соблюдение в условиях рыночной экономики -- дело владельцев секретов, промышленной или банковской тайны, которые сами должны оценивать степень и время действия секретности с учетом полученной или упущенной выгоды. В области защиты государственной тайны действуют и другие (политические, военные и т.д.) факторы при решении проблем защиты информации.

ОРГАНИЗАЦИОННЫЕ ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ

1. Научный подход к организации защиты информации.

В научных исследованиях проблем защиты информации используются научные методы. Так, комплексный и системный подход к организации защиты информации предполагает:

-- с одной стороны, выявление и анализ возможных каналов утечки защищаемой информации с учетом объемов такой информации и носителей, на которых она накапливается, и ее важности;

-- с другой стороны, изучаются и анализируются возможности конкурента по собиранию и добыванию защищаемой информации не вообще, а в каждом конкретном случае в отношении определенного предприятия, учреждения, отрасли или проблемы.

Системный подход позволяет создать органически взаимосвязанную совокупность сил, средств и специальных методов по оптимальному ограничению сферы обращения засекреченной информации, предупреждению ее утечки.

2. Максимальное ограничение числа лиц, допускаемых к защищаемой информации.

3. Персональная ответственность за сохранность доверенных секретов.

4. Единство в решении производственных, коммерческих, финансовых и режимных вопросов.

5. Непрерывность защиты информации.

ПРИНЦИПЫ, ИСПОЛЬЗУЕМЫЕ ПРИ ЗАЩИТЕ ИНФОРМАЦИИ ОТ ТЕХНИЧЕСКИХ СРЕДСТВ РАЗВЕДКИ

-- Принципы защиты информации, используемые при организации противодействия ТСР:

-- активность защиты информации -- выражается в целенаправленном навязывании технической разведке ложного представления об объекте его разведывательных устремлений, в соответствии с замыслом защиты;

-- убедительность защиты информации -- состоит в оправданности замысла защиты условиям обстановки в соответствии с характером защищаемого объекта или свойствам окружающей среды, в применении технических решений защиты, соответствующих климатическим, сезонным и другим условиям;

-- непрерывность защиты информации предполагает организацию защиты объекта на всех стадиях его жизненного цикла:

-- предпроектном, проектном, в период разработки, изготовления

-- (строительства), испытания, эксплуатации и утилизации;

-- разнообразие защиты информации -- предусматривает исключение шаблона, повторяемости в выборе объекта прикрытия и путей еализации смысла защиты, в том числе с применением типовых решений.

-- Принципы защиты информации, используемые в СВТ. Основными принципами защиты информации, имеющими специфический характер и используемыми в организации защиты информации в СВТ, являются:

-- введение избыточности элементов системы,

-- резервирование элементов системы,

-- защитные преобразования данных,

-- контроль состояния элементов системы, их работоспособности и правильности функционирования.

Под введением избыточности элементов системы понимается включение дополнительных компонентов сверх того минимума, который необходим для выполнения им всего множества своих функций. Избыточные элементы функционируют одновременно с основными, что позволяет создавать системы, устойчивые относительно внешних и внутренних дестабилизирующих факторов и воздействий. Различают избыточность организационную, аппаратную, программно-алгоритмическую, информационную, и др.

Защитные преобразования данных, контроль состояния элементов системы, их работоспособности и правильности функционирования будут рассмотрены нами ниже.

Резервируются обычно не все элементы системы защиты информации, а особо важных компьютерных подсистем, чтобы в случае возникновения каких-то чрезвычайных обстоятельств, их можно было использовать для решения стоящих перед системой задач.

1.14. Объекты защиты информации.

Понятие объекта защиты. Соотношение объекта с рубежом защиты информации. Носители информации как конечные объекты защиты. Состав объектов хранения носителей информации, подлежащих защите и их особенности. Состав подлежащих защите технических средств отображения, обработки, хранения, воспроизведения и передачи информации. Другие объекты защиты информации. Виды и способы дестабилизирующего воздействия на объекты защиты.

Инфа является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется в определенных материальных объектах или памяти людей, которые и выступают в роли ее носителей и составляют основной, базовый объект защиты. Согласно ГОСТ 50922-96 "Защита информации. Основные термины и определения", носитель информации - это "физлицо или материальный объект, в том числе физическое поле, в которых инфа находит свое отображение в виде символов, образов, сигналов, технических решений и процессов". Носители защищаемой информации можно классифицировать как док-ты, изделия, вещества и материалы, электромагнитные, тепловые, радиационные и другие излучения, акустически и другие поля и др. Особым носителем является человек, он обладаем позитивными и негативными чертами. Без его согласия никакая инфа не может быть извлечена из его памяти. Он может оценивать важность имеющейся у него информации и в соответствии с этим обращаться с нею. Он может ранжировать потребителей информации - кому какую информацию он может доверить. Отрицательные - он может заблуждаться в отношении истинности потребителя защищаемой информации или умышленно не сохранять доверенную ему информацию.

Среди наиболее распространенных видов носителей конфиденциальной информации можно выделить следующие: бумажные носители (инфа фиксируется рукописным, машинописным, электронным, типографским и др. способами), магнитные (аудио- и видеокассеты, жесткие диски, дискеты и др.), магнитооптические и оптические носители (лазерные диски, компакт-диски), выпускаемая продукция (изделия), технологические процессы, физические поля.

Носители КИ как объекты защиты должны защищаться, в зависимости от их видов, от НСД, от утраты и утечки содержащейся в них информации. Но чтобы обеспечить защиты, необходимо защищать и объекты, которые являются подступами к носителям, и их защита выступает в роли определенных рубежей защиты носителей. И чем таких рубежей больше, чем сложнее их преодолеть, тем надежнее обеспечивается защита носителей.

Объекты защиты (рубежи): территория предприятия, здание предприятия, помещения, где расположены хранилища носителей, производится обработка носителей и осуществляется управленческо-производственная деятельность с использованием носителей; непосредственные хранилища носителей (защищаются от НСД). Кроме того, объектами защиты должны быть:

средства отображения, обработки, воспроизведения и передачи конфиденциальной информации: ЭВМ, кот.должны защищаться от несанкц.подключения, побочных электромагнитных излучений, заражения вирусом, электронных закладок, визуального наблюдения, вывода из строя, нарушения режима работы; копировально-множительная техника, защищаемая от визуального балюдения и побочных эл-магнитных излучений по время обработки информации; средства видео- и звукозаписывающей и воспроизводящей техники, которые требуют защиты от прослушивания, визуального наблюдения и побочных электромагнитных излучений.

средства транспортировки носителей КИ, подлежащие защите от проникновения посторонних лиц к носителям или их уничтожения во время транспортировки.

средства радио- и кабельной связи, радиовещания и телевидения, используемые для передачи КИ, которые защищаются от прослушивания, вывода из строя, нарушения режима работы.

системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.), которые должны защищаться от использования их для вывода их строя средств обработки и передачи инф-и, прослушивания конфиденциальных разговоров, визуального наблюдения за носителями.

технические средства ЗИ и контроля за ними, требующие защиты от НСД с целью выведения их из строя.

Виды и способы дестабилизирующего воздействия на объекты защиты.

ВИДЫ ДВ со стороны различных источников:

Со стороны технических средств: а) выход из строя; б) сбои в работе; в) создание эл/м излучений.

Со стороны систем обеспечения: а) выход из строя; б) сбои в работе.

Со стороны технологических процессов - изменение структуры окружающей среды.

1. Способы дестабилизирующего воздействия на информацию со стороны людей.

2.Способы дестабилизирующего воздействия со стороны техсредств.

5.Электромагнитные излучения (в т.ч. ПЭМИН) приводят к хищению информации.

3.Системы обеспечения

4. Технологические процессы

изменение химического состава окружающей среды;

изменение локальной структуры магнитного поля.

? хищение конфиденциальной информации.

Природные явления

1.15. Классификация видов, методов и средств защиты информации.

Виды защиты информации, сферы их действия. Классификация методов защиты информации. Универсальные методы защиты информации, области их применения.

Понятие и классификация средств защиты информации. Области применения организационных, криптографических и инженерно-технических методов защиты информации.

Под видом ЗИ понимается область ЗИ, включающая входящие в неё методы, средства и пероприятия по обеспечению безопасности информации.

Правовая защита - вид защиты включающий совокупность установленных государством правил, регламентирующих ЗИ.

Правовая защита регламентирует:

-- Определяет вид тайны и порядок отнесения информации к различным видам тайн

-- Определяет категории сведении которые не могут быть отнесены к защищаемым

-- Устанавливает права и обязанности собственника защищаемой информации

-- Устанавливает ответственность за покушение на защищаемую информацию

Организационная защита - это вид защиты включающий совокупность организационно-распорядительных док-тов, организационных методов и мероприятий, обеспечивающих организацию и контроль защиты информации.

Применительно к сферам деятельности можно выделить 5-ть областей защиты:

-- Обеспечение выполнения установлены правовых норм ЗИ

-- Обеспечение реализации криптографической, программно-аппаратной и инженерно-технической защиты информации

-- Обеспечение защиты отдельных направлений самостоятельно только организационными методами и мероприятиями

-- Обеспечение защиты отдельных направлений в сочетании с другими видами защиты

-- Направление представляющее собой объединение в единую систему всех видов, методов и средств ЗИ

Криптографическая ЗИ - это вид защиты информации осуществляемый путём закрытия информации методами шифрования, кодирования или подобными методами.

Программно-аппаратная ЗИ - вид защиты информации включающий специальные программы защиты функционирующие автономно, либо реализовано в программных средствах обработки информации или технических устройствах ЗИ. Предназначена для защиты информационных технологий и технических средств обработки информации.

Инженерно-техническая ЗИ - вид защиты включающий комплекс инженерно-технических методов, технических средств и мероприятий по их эксплуатации. Сферой такой защиты является защита от физического и технического НСД к информации, а также техническая дезинфа противника.

Методы ЗИ - это способы защиты которые самостоятельно или в совокупности со средствами защиты обеспечивают один или несколько видов защиты. Методы делятся на:

-- Универсальные используемые не в одном а в нескольких видах защиты

-- Локальные имеющие отношение к одному виду защиты

Универсальные методы:

-- Регламентация(Должны быть установлены правила, регламентирующие ЗИ)

-- Скрытие(Сделать незаметным для противника сам факт существования информации)

-- Маскировка(Скрытие от противника истинного назначения объекта)

-- Дезинфа(Ведение в заблуждение ложной информацией)

-- Дробление(Расчленение информации)

-- Препятствие(Создание различных барьеров на пути НСД к информации )

Локальные методы ЗИ(могут быть общие и специфические):

Правовые методы:

-- Принятие правовых актов устанавливающих нормы зашиты

-- Привлечение к ответственности лиц нарушающих правила защиты

Организационные методы(общие):

-- Разработка и внедрение средств ЗИ

-- Распределение обязанностей по ЗИ

-- Подбор и обучение персонала

-- Поощрения за обеспечение ЗИ

Специфические методы организационной защиты относятся к конкретным объектам защиты:

-- Конф инфа

-- защищаемая инфа

-- допущенному к защищаемой информации персоналу

Криптографические методы включают в себя шифрование, кодирование, сжатие информации.

Инженерно-технические методы:

От несанкционированного физического проникновения:

-- Системы наблюдения

-- Пропускная система

-- Защищённые хранилища информации

От визуально наблюдения:

-- Использование светонепроницаемых стёкол, решёток и др.

От подслушивания:

-- Средства акустического зашумления

-- Применение звукопоглощающих материалов

От перехвата электромагнитных излучений:

-- Экранирование помещений

-- Глушение сигналов

Средства ЗИ - технические, криптографические, программные и другие средства применяемые для защиты информации. Они подразделяются на 3 категории:

-- осуществляющие защиту автономно

-- вмонтированные в средства обработки информации

-- средства с помощью которых осуществляется контроль эффективности ЗИ

К Программно-аппаратным относятся программы защиты и док-ты по их эксплуатации.

К криптографическим относятся:

-- шифраторы(шифровальный аппарат для автоматического шифрования информации)

-- скремблеры(средства для преобразования речевой информации, которая становится неразборчивой)

Инженерно-технические средства классифицируются:

1)По характеру

-- механические

-- электрические

-- оптические

-- радио

2)По способам применения:

-- средства предназначенные для непосредственной ЗИ

-- средства контроля эффективности ЗИ

3)По сферам ЗИ:

-- Средства защиты физических полей

-- Средства защиты других носителей

-- Специальные средства защиты обусловленные деятельностью предприятия

1.16. Кадровое и ресурсное обеспечение защиты информации.

Угрозы безопасности информации и направления ее защиты от персонала.

Значение и состав кадрового обеспечения защиты информации. Полномочия руководства предприятия в области защиты информации. Полномочия подразделений по защите информации. Полномочия специальных комиссий по защите информации. Полномочия пользователей защищаемой информации. Состав и назначение ресурсного обеспечения защиты информации. Количественные и качественные показатели ресурсного обеспечения.

В ЗИ должны быть задействованы все лица, работающие с защищаемой информацией, начиная с руководителя и заканчивая исполнителями.

Ответственность за организацию ЗИ на предприятии несёт его руководитель.

Участие других должностных лиц в ЗИ могут выражаться в индивидуальном выполнении служебных обязанностей по ЗИ определенных служебным положением.

На предприятиях создаются спецслужбы ЗИ которые должны обеспечивать ЗИ .т.е. разрабатывать и внедрять различные защитные мероприятия.

Службы ЗИ должны быть самостоятельным подразделением предприятия и подчиняться непосредственно руководителю или его заместителю.

При незначительном объёме защищаемой информации службы по ЗИ могут не создаваться. В этом случае их функции выполняет либо руководитель, либо назначенный его приказом спецработник. Состав ресурсного обеспечения ЗИ

В Состав ресурсного обеспечения ЗИ входят следующие материальные ресурсы:

-- помещения для хранения носителей защищаемой информации и проведения работ с ней

-- оборудование для хранения защищаемой информации(сейфы)

-- средства обработки и передачи информации

-- средства ЗИ

Кроме того в состав ресурсного обеспечения входят ресурсы.

В ресурсного обеспечения также входят и нормативно-методические док-ты по организации и технологии ЗИ. Они бывают:

-- полученные извне

-- разработанные на предприятии

2.1. Сущность, общее содержание, задачи и принципы организации КСЗИ.

Назначение и общее содержание КСЗИ. Понятие системы. Основные системные представления. Системный анализ. Системный подход.

Основные задачи КСЗИ. Факторы, влияющие на организацию КСЗИ. Принципы организации КСЗИ. Основные требования, предъявляемые к КСЗИ.

Назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически.

СЗИ - организованная совокупность: органов и объектов ЗИ, методов и ср-в защиты, а также осуществляемых защитных мероприятий.

КСЗИ - система полно и всесторонне охватывающая все предметы, процессы и факторы обеспечивающие безопасность защищаемой инф. Комплексная система защиты обеспечивает также использование всего арсенала средств и методов при учете всех составляющих защиты (формы проявления уязвимости информации, объекты защиты, цели и задачи защиты, факторы и обстоятельства, влияющие на организацию и функционирование системы защиты).

КСЗИ должна строиться т.о., чтобы процессы ЗИ носили регулярный характер и охватывали все этапы функционирования объекта (начиная от создания и заканчивая ликвидацией), а кроме того, обеспечивали защиту носителей инф-ции во всех компонентах ее сбора, хранения, обработки и передачи при всех режимах функционирования объекта.

Системы бывают: естественные, искусственные, идеальные (концептуальные), виртуальные.

КСЗИ - искусственная, т.е. созданная человеком сложная система, которая является еще и целеориентированной системой.

Система взаимодействует с внешней средой и может быть качественно оценена через свои входы и выходы. Систему можно расчленить на составляющие элементы и подсистемы. Элементы связаны между собой и внешней средой. Совокупность связей образует структуру системы. Все системы можно условно разделить на малые и большие. Малые системы - определяются свойствами процесса и обычно ограничены одним типовым процессом, его внутренними связями, а также особенностью функционирования.

Большие системы - сложная совокупность малых (подсистем) и отличаются от них в количественном и качественном отношениях.

Система может быть описана динамически или статически. Может быть представлена с точки зрения внешних или внутренних характеристик. Внутреннее состояние системы может быть представлено в виде функциональных зависимостей и в виде структуры, реализующей эти зависимости, т.е. можно выделить 5 основных системных представлений:

-- Микроскопическое (совокупность элементов, неразложимых далее)

-- Функциональное (совокупность функций)

-- Макроскопическое (нерасчленимое целое)

-- Иерархическое (понятие подсистемы или единицы. Единица обладает функциональной специфики целого. (Система - совокупность единиц)

-- Процессуальное (система как совокупность процессов. Основное понятие - период жизни).

Системный анализ - это стратегия изучения сложных систем. В качестве метода в нем выступает математическое моделирование, а основным принципом - разбиение сложных систем на более простые подсистемы. (Решаются задачи моделирования, оптимизации, управления и проектированяи систем).

Системный подход. Ориентируются на исследование раскрытия целостности объекта, выявления различных типов связей в нем и сведения в единую теоретическую картину. Основан на представлении системы как о чем-то целом, обладающим новыми свойствами (качествами) по сравнению со свойствами составляющих ее элементов.

В основе стратегии системного анализа лежат следующие общие положения.

-- Четкая формулировка целей исследования.

-- Постановка задачи по реализации этой цели, и определение критерия эффективности решения задачи.

-- Разработка развернутого плана исследования с указанием основных этапов и направлений решения задач.

-- Последовательное продвижение по всему комплексу взаимосвязанных этапов и возможных направлений

-- Организация последовательных приближений и повторных циклов исследований на отдельных этапах. Т.е. постепенное увеличение масштаба и увеличение части исследования объекта.

-- Принцип нисходящей иерархии анализа и восходящей иерархии синтеза в решении составных задач.

Основные задачи КСЗИ. 3 типа задач:

Задачи анализа - определение характеристик изучаемого объекта и целей его функционирования, а также целей организации системы зашиты объекта и состава средств и затрат;

Задачи синтеза - проектирование архитектуры и технологически: функционирования объекта и системы.

Задачи управления - поиск управляющих воздействий на параметры объекта и системы с целью поддержания их в требуемом состоянии. Все эти задачи решаются в рамках 9 условий, которые связаны с теми этапами развития, которые проходят система и объект защиты в течение жизненного цикла: создание, функционирование, совершенствование

КСЗИ - система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой инф. Из назначения КСЗИ вытекают основные требования, которые должны к ней предъявляться:

-- Система должна быть привязана к целям и задачам ЗИ на конкретном предприятии.

-- Система должна быть целостной, а именно содержать все необходимые составляющие, иметь структурные связи между компонентами, обеспечивающими ее согласованное функционирование.

-- Система должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на БИ, и все виды, методы и средства защиты.

-- Система должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты.

-- Система должна быть вмонтированной в технологические схемы сбора, хранения, обработки, передачи и использования инф.

-- Система должна быть компонентно, логически, технологически и экономически обоснованной.

-- Система должна быть реализуемой, обеспеченная всеми необходимыми ресурсами.

-- Система должна быть простой и удобной в эксплуатации и управлении.

-- Система должна быть непрерывной.

-- Система должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки инф, условий защиты.

Принципы организации КСЗИ.

-- принцип законности, который заключается в соответствии принимаемых мер законодательству РФ о защите инф, а при отсутствии соответствующих законов по другим государственным нормативным док-там по ЗИ.

-- принцип полноты состава ЗИ, который заключается в том, что защите подлежит не только инф содержащая ГТ, КТ или СТ, но и та часть секретной инф, утрата которой может нанести ущерб ее собственнику либо владельцу.

-- принцип обоснованности ЗИ заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой инф, вероятных экономических и иных последствий такой защиты, что в свою очередь позволяет расходовать средства на защиту только той инф, утрата или утечка которой может нанести действительный ущерб ее владельцу.

-- принцип персональной ответственности за ЗИ заключается в том, что каждое лицо персонально отвечает за сохранность и неразглашение вверенной ему защищаемой инф, а за утрату или распространение такой инф несет уголовную, административную или иную ответственность.

-- принцип наличия и использования всех необходимых сил и средств для защиты.

-- принцип превентивности принимаемых мер по ЗИ, который заключается в опережающем заблаговременном принятии мер по защите инф до начала ее разработки или при получении.

Факторы, влияющие на организацию КСЗИ:

1) быстро развивающаяся и приобретающая новые качества информационно-коммуникационная инфраструктура современных предприятий;

-- зависимость от уровня защищенности информационно-телекоммуникационной инфраструктуры состояния основных элементов систем обеспечения функционирования предприятий;

-- представительный арсенал видов и способов дестабилизирующего воздействия на информацию, а также способов ее злоумышленного использования.

Факторы внутреннего характера:

-- наличие богатого опыта организации защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки;

-- наличие эффективных научных и практических разработок средств защиты информации по всем основным направлениям (правовому, инженерно-техническому, программному, криптографическому, организационному);

-- наличие развитой системы подготовки, переподготовки и повышения квалификации кадров в сфере защиты информации.

2.2. Технология и организация КСЗИ.

Общее содержание работ по организации КСЗИ. Характеристика основных стадий создания КСЗИ. Назначение и структура задания на проектирование, технического задания, технико-экономического обоснования. Предпроектное обследование, технический проект, рабочий проект. Особенности ввода в эксплуатацию КСЗИ.

Проектирование КСЗИ - процесс разработки и внедрения проекта организационно-функциональной стр-ры с-мы защиты. Использование возможностей существующих методов и сре-в с целью обеспечения надежного функционирования предприятия. Этапы технологии построения орг с-мы: постановка проблемы; исследование проблемы; определение границ или состава проблемного объекта; обследование проблемного объекта; выбор критерия эф-ти орг с-мы; выбор границ, состава объекта управления; обследование объекта управления; разработка технич задания; техническое и рабочее проектирование; внедрение.

Т.к. процессы защиты находятся во взаимосвязи и взаимодействии, при их исследовании и проектировании обязателен комплексный подход, который требует исследования и учета внешних и внутренних отношений всей совокупности потенциальных угроз.

Т.к. с-ма характеризуется большим числом взаимодействующих м/у собой ср-в и многофункциональным характером решаемых с ее помощью задач, чтобы такая система эф-но функционировала, необходимо рассмотреть целый комплекс вопросов еще на стадии ее создания. Процесс создания КСЗИ вкл. несколько стадий: предпроектную стадию, стадию рабочего проектирования, внедрение и эксплуатация.

Цель предпроектного обследования - обоснование целесообразности и необходимости создания системы защиты. Разрабатывается технико-экономическое обоснование (ТЭО) к созданию системы, обосновывается необход. создания, определяются общие требования к КСЗИ в целом и отд. ее подсистемам, анализируется деятельность объекта, определяется состав, объем, стоимость, сроки исполнения предстоящих организационно-проектных работ, готовятся исходные данные и соответствующая док-тация. ТЭО должно согласовываться со всеми организациями и службами, ответственными за обеспечение безопасности, и утверждается лицами, принимающими решение. Дальше разрабатывается технич. задание (ТЗ). ТЗ содержит: разработка и обоснование требований в структуре системы защиты и обеспечения совместимости и взаимодействия всех средств, указыв. порядок проведения проектных и др. работ, их очередность, стадии, этапы, организации-исполнители, составляется план - график мероприятий по вводу в действие системы.

Техническое задание

Разделы ТЗ

-- Основание для разработки проекта

-- Цели, задачи проекта

-- Исходные данные

-- Состав и основные направления проектирования

ТЗ на проектирование объекта и СЗИ в его состав оформляется как самостоятельный док-т, который согласовывается с проектировщиком, службой безопасности заказчика и им утверждается.

Структура

-- Введение

-- Характеристика объекта управления

-- Назначение КСЗИ

-- Основные требования к КСЗИ

-- ТЭ показатели

-- Состав и содержание

-- Порядок приемки

-- Требования к заказчику по подготовке объекта

Далее начинается обследование предприятия с целью выявления объектов защ и определения целей, функций, задач и состава основных компонент СЗИ. Происходит формирование рабоч. групп; - сбор и анализ данных о структуре объекта; анализ системы управления объектом, целей его функционирования, квалиф. и численного состава сотрудников, технологич. базы; определение объемов работ, необх. для создания системы и затрат.

Рабочее проектирование - оно имеет своей целью детализировать проектное решение, принятое на предыдущем этапе, в частности, определяется и фиксируется регламент взаимодействия отдельных служб. Составл. технологические и должностные инструкции персонала, разрабатывается рабочая док-тация. На стадии рабочего проектирования происходит подготовка рабоч. помещений, утверждение спецификаций оборудования, монтаж и наладка технич. средств, подгот. нормат.-справочн. док-тации, док-тальное оформление самого проекта.

Техническое проектирование - разрабатываются и обосновываются все проектные решения, а именно выбранный вариант проекта, уточнены перечни технических средств, порядок и сроки их поставки. В ТП могут рассматриваться 2-3 варианта решения поставленной задачи по созданию системы защиты. Все варианты сопровождаются расчетами эффективности, на основе которого могут быть сделаны выводы о наиболее рациональном.

На стадии внедрения идет процесс постепенного перехода на др. уровень организации технологич. процессов, обучение персонала, отладка компонентов технич. средств и программного обеспечения, организация банка данных, доработка отд. компонентов системы, составление приемно-сдаточного акта.

Ввод эксплуатацию границы 4-х подэтапов.

Ввод в действие отдельных элементов системы, Комплексная стыковка элементов системы, Опытная эксплуатация, Приемно-сдаточные испытания и эксплуатация

Состав выполненных работ определяется так: Комплектация техническим обеспечение системы, Обучение персонала, Опытная эксплуатация компонентов, Приемочные испытания, Приемка системы в целом.

Желательно, чтобы в монтаже и настройке защитных систем участвовали те сотрудники, которые будут их эксплуатировать. В разработке сис-мы могут принимать участие несколько групп разработчиков, каждая из которых объединяет специалистов определенного профиля. Поэтому одной из задач орг сис-мы ЗИ явл четкое распределение функций и согласование выполняемых работ. Основной причиной плохих разработок явл отсутствие единого руководства, организационного плана и неудовлетворительная организация контроля и управления ходом разработки со стороны заказчика. Поэтому важное условие - создание у заказчика группы, задачи которой - осуществление контакта с разработчиком, курирование разработки, утверждение и оперативная корректировка планов и выделяемых финансовых ресурсов.

2.3. Разработка модели КСЗИ.

Моделирование как инструмент анализа КСЗИ. Организационное построение КСЗИ. Функциональная модель КСЗИ.

Модель потенциального нарушителя.

Реализация концепции КСЗИ: матрица разграничения доступа, модель с полным перекрытием.

Моделирование как инструмент анализа КСЗИ. Виды моделей КСЗИ.

Моделирование - это процесс познания объекта исследования на его моделях и построения моделей объекта (наглядный и эффективный инструмент, используемый при анализе любого сложного объекта). Модель представляет образ (включающая множество параметров и характеристик) реального объекта (процесса), отражающий наиболее существенные свойства объекта и замещающий его в ходе изучения. Роль метода моделирования в сфере ЗИ очень важна, поскольку в данной области модели подчас являются единственным инструментом анализа вследствие невозможности (или ограниченной возможности) проведения экспериментов с реальными объектами и системами.

Архитектура КСЗИ - совокупность моделей, отражающая общую организацию, состав компонентов КСЗИ и топологию их взаимодействия. Она охватывает формирование моделей: кибернетической, функциональной, инф-ционной, организационной и структурной. Они отражают различные стороны проектируемого (анализируемого) объекта и сами образуют систему, как это показано в организационной модели.

Кибернетическая модель (описательная модель). Содержит в себе инф-цию о: структуре, параметрах и др. характеристиках и свойствах субъекта и объекта управления, образующих систему (+сведения, отражающие роль и место КСЗИ). Эта модель демонстрирует различные виды связей данной СЗИ с другими системами предприятия.

Функциональная модель. Отображает: состав, содержание и взаимосвязи тех функций, осуществление которых достигается целью деятельности моделируемых систем. Основными составляющими являются: перечень функций (2 вида: для непоср-венного обеспечения ЗИ , для управления механизмами непоср-венной защиты); содержание функций; классификация функций.

Инф-ционная модель. Отражает: структуру, содержание, объем и направление циркуляции тех инф-ционных потоков, которые необходимы для решения всех задач предприятия и КСЗИ. Составными компонентами являются: тип инф-ционного потока по функциональному назначению; вид инф-ции, циркулирующей в потоке; схема циркуляции инф-ции каждого вида; этапы циркуляции потока. В инф-ционной модели циркулируют след. виды инф-ции: корреспонденция; техническая док-тация; периодика (журналы и проч.); книги; фактографическая инф-ция.

Организационная модель. Показывает: состав, взаимосвязь и подчиненность в управленческой иерархии подразделений, входящих в состав КСЗИ. В зависимости от организационной структуры системы управления КСЗИ м.б. след. модели, построенные по: линейному принципу; функциональному принципу; линейно-функциональному принципу; матричному типу. Модель формируется с учетом структуры системы управления предприятия, где создается или функционирует КСЗИ, а также с учетом состава основных функций, осуществляемых в системе защиты.

Структурная модель. Отражает содержание: кадрового, организационно-правового и ресурсного компонентов КСЗИ. Ресурсный представлен основными видами обеспечения: техническое, математическое, программное, инф-ционное, лингвистическое. Организационно-правовой - комплекс организационно-технических мероприятий и правовых актов, являющихся основой, регулирующей функционирование основных подсистем КСЗИ. Играет связующую роль между кадровым и ресурсным.

Человек является главным носителем информации и он же может стать главным источником угрозы защищаемой информации. Поэтому целесообразно рассмотреть модель нарушителя, которая отражает его практические и теоретические возможности, априорные знания, время и место действия и т.д. В каждом конкретном случае определяется модель нарушителя, которая должна быть адекватна реальному нарушителю для данной системы. При разработке модели нарушителя определяются: предположения о категориях лиц, к которым может принадлежать нарушитель, предположения о мотивах действий нарушителя (преследуемых нарушителем целях), предположения о квалификации нарушителя и его технической оснащенности, ограничения и предположения о характере возможных действий нарушителей. Нарушители могут быть внутренними (из числа персонала) и внешними (посторонними лицами).

Внутренние нарушители: пользователи системы, обслуживающий технические средства персонал, сотрудники отделов, техперсонал, обслуживающий здание, сотрудники службы безопасности, руководители различных уровней. Посторонние: клиенты, посетители, представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации, представители конкурирующих организаций, лица, случайно или умышленно нарушившие пропускной режим, любые лица за пределами контролируемой территории.

Причины: при нарушениях, вызванных безответственностью, сотрудник компрометирует инф-ю целенаправленно или случайно, без злого умысла; самоутверждение, корысть, карьерный рост, психологический дискомфорт от сохранения чего-л. в тайне длительное время.

По уровню знаний о системе: знает функциональные особенности, основные закономерности формирования в ней массивов данных, умеет пользоваться штатными средствами; обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания; обладаем высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем, знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей: эксперт - профессиональные знания и контакты обеспечивают первоклассную ориентацию в разрабатываемом вопросе; внутренний информатор - человек из группировки противника, поставляющий информацию по материальным, моральным и другим причинам; горячий информатор - любой знающий человек из сторонников противника, проговаривающий инф-ю под влиянием активных методов воздействия (допроса, пытки и др.); внедренный источник - свой человек, просочившийся в окружение объекта; легкомысленный информатор - человек противника, проговаривающее интересные факты в деловой, дружеской или интимной беседе; контактеры - люди, когда-л. контактировавшие с изучаемым объектом; союзник - человек либо общественная, гос или криминальная структура, выступающая как противник или надзиратель объекта; случайный источник.

По времени действия - в процессе функционирования системы, в период неактивности компонентов системы; как в процессе функционирования, как и в период неактивности.

По месту действия - без доступа на контролируемую территорию, с контролируемой территории без доступа в здания и сооружения, внутри помещений, но без доступа к техническим средствам, с рабочих мест конечных пользователей, с доступом в зону данных, с доступом в зону управления средствами обеспечения безопасности.

Реализация концепции КСЗИ: матрица разграничения доступа, модель с полным перекрытием.

2.4. Назначение, структура и содержание управления КСЗИ.

Понятие и цели управления КСЗИ. Сущность процессов управления. Основные законы кибернетики. Планирование деятельности КСЗИ.

Нормативно-методические док-ты, обеспечивающие функционирование КСЗИ. Значение, состав, порядок разработки и внедрения нормативно-методических док-тов.

Управление - элемент, функция организованных систем различной природы, обеспечивающая сохранность их определенной структуры, поддержание режимов деятельности, реализацию их программ и целей. Как любая человеческая деятельность, организационное управление рассматривается в двух аспектах: содержание деятельности (что делается), организация самого процесса (как делается, методы). Общая цель управления - обеспечение максимально возможной эффективности использования ресурсов. Для достижения этой цели решаются следующие задачи:

-обеспечение заданного уровня достижения цели при минимальном уровне затрат;

-обеспечение максимального уровня достижения цели при заданном уровне затрат.

Основные законы кибернетики. Кибернетика - наука об общих законах получения, сравнения, передачи и переработки информации. Основной объект исследования - кибернетические системы, рассматриваемые абстрактно, вне зависимости от их материальной природы. Для кибернетики как науки предметом исследования являются системы любой природы и возможность управлять ими, методом исследования - математическое моделирование, позволяющее анализировать и синтезировать изучаемые системы, прогнозировать их оптимальное поведение и выявлять каналы и алгоритмы управления; стратегией исследования - системный анализ, а средством исследования - вычислительная техника.

В рамках кибернетики сформулированы следующие общие законы любого управления: всякое управление есть целенаправленный процесс, всякое управление есть непрерывный информационный процесс, заключающийся в сборе, обработке и передаче информации; всякое управление осуществляется в замкнутом контуре, образованном управляющим и управляемыми объектами и объединенными прямой и обратной связью в единую систему.

Фундаментальным достижением кибернетики является доказательство двух положений: перечисленные законы образуют системы, т.е. они должны рассматриваться в совокупности и взаимосвязи; действие системы кибернетических законов носит всеобщий характер, они справедливы для систем любой природы: биологических, технических, социальных.

Планирование является первым шагом в цикле управления. Цель планирования: заблаговременно учесть по возможности все внутренние и внешние факторы, обеспечивающие благоприятные условия для нормального функционирования и развития предприятия. Планирование имеет сложную структуру и реализуется через свои подфункции: прогнозирование, моделирование и программирование. Прогнозирование - метод научно обоснованного предвидения возможных направлений будущего развития организации, рассматриваемой в тесном взаимодействии с окружающей ее средой. Задачи прогнозирования: научное предвидение будущего на основе выявления тенденций и закономерностей развития; определение динамики экономических явлений, определение в перспективе конечного состояния системы ее переходных состояний, а также ее поведения в различных ситуация на пути к заданному оптимальному режиму функционирования. Задача программирования - разработка алгоритма функционирования системы, определение требующихся ресурсов, выбор средств и методов управления.

Планирование охватывает как текущий, так и перспективный период. Формы планирования: перспективное (на 5 и более лет), среднесрочное (от 1 до 5), текущее(рабочее) планирование (от 1 мес. до 1 года).

Планирование реализуется через системы принципов, связанных с общими принципами управления: директивность, т.е. обязательный характер планов; преемственность - сочетание и взаимосвязь перспективного и текущего планирования: использование положительного опыта работы, учет допущенных недостатков; конкретность - постановка четких целей и задач, определение наиболее рациональных путей, методов и способов их достижения; гибкость - наличие возможностей для маневра имеющимися силами и средствами в ходе выполнения плана, корректировка плана; проблемность - нацеленность на решение значимых вопросов, недопущение распыленности; комплексность - обеспечение использования всей системы мер по ЗИ на различных направлениях, в подразделениях; экономичность - максимальные результаты при наименьших затратах сил и средств.

Планирование может быть организовано разными способами: анализ, синтез, итерация. Чем выше влияние неопределенности на характер планируемой деятельности, тем более целесообразным является итерационный способ планирования. Данный способ планирования наиболее приемлем для КСЗИ.

Нормативные док-ты, определяющие порядок защиты, должны удовлетворять следующим требованиям:

-- соответствовать структуре, целям и задачам предприятия;

-- описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;

-- перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;

-- определять ответственных за внедрение и эксплуатацию всех средств защиты;

-- определять права и обязанности пользователей, причем таким способом, чтобы этот док-т можно было использовать в суде при нарушении правил безопасности.

Прежде чем приступить к разработке док-тов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. План защиты информации содержит более конкретизированную информацию, касаемую назначения ИС, перечня ее задач и методов решения этих задач и др.

Нормативно-методическое обеспечение КСЗИ состоит из законодательной базы, руководящих методических док-тов и информационно-справочной базы. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы, госты. Во второй компонент входят док-ты министерству и ведомств (Гостехкомиссия, ФСБ), а также док-ты, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных.

В процессе разработки док-тов необходимо учитывать все ограничения, накладываемые другими законами на засекречивание информации. Отнесение информации к конфиденциальной должно быть обоснованным и своевременным. Например, рассмотрим подготовку и внедрение перечня, имеющего своей целью засекретить информацию. Руководители органов гос. власти, наделенные полномочиями по отнесению сведений к гостайне, организуют разработку перечня и несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к ГТ. Для разработки перечня создается экспертная комиссия, в состав которой включаются компетентные специалисты, работающие со сведениями, составляющими гостайну. В ходе подготовки проекта перечня комиссия проводит анализ всех видов деятельности соответствующих органов госвласти, предприятий, учреждений и организаций с целью определения сведений, распространение которых может нанести ущерб безопасности РФ. Обоснование необходимости отнесения сведений к гостайне с указанием степени секретности осуществляется собственниками этих сведений и оформляется в виде предложений для включения в проект перечня. Проект перечня представляется на утверждение руководителю органа госвласти, наделенному полномочиями по отнесению сведений к гостайне, который также решает вопрос о целесообразности засекречивания самого перечня. Утвержденные перечни направляются в МВК. После утверждения перечни доводятся до заинтересованных органов госвласти в полном объеме либо в части, их касающейся, до предприятий, учреждений и организаций, действующих в сфере ведения органов госвласти, в части их касающейся, по решению должностного лица, утвердившего перечень, до предприйтий, орг-ий и учреждений, участвующих в проведении совместных работ, в объеме, определенном заказчиком этих работ.

2.5. Технология управления КСЗИ.

Определение и основные понятия технологии управления КСЗИ. Понятие управленческого решения. Особенности поиска и принятия решений в КСЗИ. Методы, используемые для принятия управленческих решений в зависимости от особенностей ситуации.

Понятие и основные виды чрезвычайных ситуаций. Технология принятия решений в условиях чрезвычайной ситуации. Факторы, влияющие на принятие решений в условиях чрезвычайной ситуации. Подготовка мероприятий на случай возникновения чрезвычайных ситуаций.

Технология управления - регламентирующая совокупность методов и средств управления коллективами людей в процессе достижения целей их деятельности.

Технология - совокупность методов обработки, изменения состояния, свойств, форм сырья, материалов и полуфабрикатов, осущ. в процессе производства продукции.

Управление - элемент функционирования орг. систем различной природы, обеспечивающий сохранность их определеннной структуры, поддержания режимов деятельности, реализацию их программ и целей.

Общая цель управления - обеспечение максимально возможной эффективности использования ресурсов.

Управление необходимо рассматривать как процесс, имеющий как прямые, так и обратные связи субъекта с объектом управления.

Одним из активных звеньев технологии управления явл. человек. Он может рассматриваться как объект и субъект управления.

4 макропроцесса управления:

-планирование

-календарно-плановое руководство

-оперативно -диспетчерское управление

-контроль

Управленческое решение - одна из основных составляющих процесса управления.

Решение - процесс выбора наилучшего (эффективного, оптимального) варианта действий из многих возможных, либо сам результат этого действия. Т.е. под упр.решением понимается:

- поиск и нахождение наиболее рационального и оптимального варианта действия руководителя

- конечный результат постановки и выработки упр. решения

При решении, любые проблемы, как правило, рассматриваются несколькими возможными путями, ведущими к цели. Для того, чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения, т.е. критерий эффективности, который должен характеризовать количество реализаций заданных функций, учитывать затраты ресурсов, необходимых для реализации функционального назначения системы, быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания системы.

При выборе решений используют две стратегии: алгоритмические и эвристические.

Первая предполагает выбор решения за конечное число шагов. Вторая -- набор правил, принципов и приемов интуитивного характера, которые позволяют найти решение.

Все ситуации можно разделить по их степени сложности, степени динамики (статич. и динам.), степени неопределенности (детерм. и рискованные).

Требования к упр. решению: -обоснованность (исп-е максимума инф.), -своевременность, -полнота, -полномочность, -согласованность с принятыми ранее решениями

К методам анализа решения проблем можно отнести:

-- Инструкции и руководства, четко обосновывающие последовательность анализа системы и решения проблем

-- математические модели и методы, формализующие взаимосвзязи процессов и явлений

-- системный анализ, позв. выявить направления взаимодействия подсистем, стратегию их развития.

-- экспертные оценки и суждения, позволяющие специалистам оценить удельные веса события, явлений, факторов, прогнозы развития систем и подсистем, соотношения детерминированных и вероятностных факторов (2 осн. типа процедур: мозговой штурм и итерационные процедуры типа метод делфи)

Обеспечение продолжительного нормального функционирования в любой системе требует пристального внимания по отношению к потенциальным нештатным ситуациям. ЧС - комплекс событий, проявление и протекание которых могут привести к нарушению нормального функционирования КСЗИ, либо создать условия для проявления различных форм уязвимости защищаемой информации. ЧС можно классифицировать по различным признакам:

по масштабам сферы действия: межгосударственные, общегосударственные, местные, объектовые.

по виду наносимого ущерба: ЧС с прямым ущербом, с косвенным ущербом, представляющие угрозу жизни людей, приводящие к нарушению экологического равновесия, уничтожению материальных ресурсов и др.

по времени и динамике развития: стратегические ЧС, приводящие к катастрофическим последствиям, медленнотекущие ЧС, ЧС оперативного плана, с выраженной динамикой развития.

по вероятности возникновения: прогнозируемые, труднопрогнозируемые, непрогнозируемые.

по степени сложности ликвидации последствий: легкоустранимые ЧС; требующие определенных временных и ресурсных затрат для их ликвидации; трудноустранимые ЧС; требующие особых средств и мероприятия для ликвидации их последствий.

Система управления ЧС должна функционировать в четырех режимах:

-режим повседневной деятельности. Задача системы управления ЧС - противоаварийное упреждающее планирование, сбор информации для прогнозирования возможного развития ЧС и контроля ее последствий. В данном режиме определяются и создаются нормативные, законодательные и экономические механизмы, направленные на минимизацию риска и ущерба от ЧС.

-режим повышенной готовности. Задачи системы управления ЧС - разработка и осуществление детальных планов мероприятий по предупреждению, либо смягчению последствий ЧС на основе заранее подготовленных сценариев ее развития и ответных действий.

-чрезвычайный режим (действия в ЧС).

-постчрезвычайный режим (ликвидация долговременный последствий ЧС)

Основные причины запаздывания ответный действий:

Инерционность информационной системы - необходимость затрат времени на наблюдение, обработку и интерпретацию результатов наблюдения, передачу информации руководителям

Необходимость проверки и подтверждения достоверности информации о возникновении ЧС.

Психологические особенности человека. Некоторые руководители считают, что признание существования ЧС отразится на их репутации, приведет к потере занимаемого положения и т.д.

Для решения задач предупреждения, нейтрализации и ликвидации последствий ЧС на предприятии создаются специальные структуры. Среди них выделяют кризисные группы, штабы, службы обеспечения защиты в условиях ЧС, оперативные бригады и др. Круг лиц, входящих в состав данных групп, определяется с учетом направленности деятельности предприятия, наличия или отсутствия филиалов, географией размещения служебных, производственных, транспортных помещений и др. факторов. В числе постоянных представителей подобных структур выступают руководители предприятия и службы безопасности, руководители функциональных подразделений, юрист, специалист финансового отдела. В обязанности такой структуры входит выявление тенденция развития ЧС, оценка масштабов ее негативного воздействия и последствий, расчет времени и ресурсов, необходимых для локализации и ликвидации, определение приоритетов при разработке и осуществлении основных мероприятий, сбор, обработка и предоставление необходимой информации для руководителей, принимающих решения в условиях ЧС, предупреждение о внезапных изменениях в зонах действия ЧС. При разработка мероприятий по подготовке к действиям в условиях ЧС необходимо учитывать, что в период протекания подобных ситуаций психологические нагрузки возрастают, реакции человека меняются, поэтому необходимо проводить различные тренинги, которые позволили бы повысить эффективность работы персонала, выражающуюся в принятии четких адекватных мер в условиях ЧС

2.6. Сущность и содержание контроля функционирования КСЗИ.

Понятие и виды контроля функционирования КСЗИ. Цель проведения контрольных мероприятий в КСЗИ. Методы контроля. Особенности проведения контроля функционирования КСЗИ. Анализ и использование результатов проведения контрольных мероприятий. Понятие аудита информационной безопасности.

Контроль - это неотъемлемый элемент любой стадии или функции управления; обособленная функция, обеспечивающая информационную прозрачность для определения качества хода процесса управления; проверка исполнения и изучение состояния дел.

Включает в себя 4-и стадии:

- установление норм (Нормы можно выражать в денежных, временных и других единицах, поддающихся измерению. (%, квоты и т.д.)

- установление фактического состояния дел

- измерение соответствия фактического состояния параметров этим нормам

- коррекция отклонений

Цели контроля: изучение и оценка фактического состояния КСЗИ, выявление недостатков КСЗИ, установление причин выявленных недостатков, выработка предложений, направленных на устранение недостатков.

Методы контроля:

- Общие методы: а) предварительный, направлен на повышение эф-ти работы, б) фильтрующий, в) последующий

- Частные методы: а) инвентаризация, б) наблюдение, в) сравнение

При контроле функционирования КСЗИ должны осуществляться следующие мероприятия:

-- анализ и оценка фактического состояния;

-- выявление недостатков, нарушений, несоответствия требованиям, что может привести к негативным последствиям для нормального функционирования;

-- выявление причин установленных отклонений (несоответствий);

-- выработка предложений, направленных на устранение недостатков и предотвращение нарушений.

Одна из основных задач контроля- квалифицированное определение предела допустимых отклонений. В качестве объектов контроля могут выступать:

-- состояние внутриобъектового режима предприятия

-- мероприятия по предотвращению несанкционированного выноса носителей информации за территорию предприятия

-- уровень знаний требований режима различными категориями сотрудников

-- качество разработки нормативно-методических и организационно-распорядительных док-тов по обеспечению функционирования КСЗИ.

-- работоспособность специальных средств защиты и их систем

-- факты подмены и несанкционированного подключения к оборудованию и линиям связи.

Функции контроля:

- корректировка - выявив отклонения и их причины, определяются пути корректировки, способы воздействия с целью преодоления отклонений;

- профилактика - позволяет выявить причины неустоя, их последующие устранения в интересах недопущения новых нарушений

Принципы контроля: - привлечение специалистов - законность - гласность - экономичность

Контроль должен быть объективным, своевременным, соответствовать характеру контролируемого процесса.

Виды контроля определяются, исходя из временных рамок (оперативный, эпизодический, периодический), степени автоматизации контроля (ручной, автоматизированный, автоматический), режима проведения (профилактика, в рабочем режиме), последовательности реализации (системный, последовательный, параллельный), количество охватываемых элементов (выборочный, сквозной, глобальный), полноты контроля (полный, частичный).

Сам процесс контроля может иметь 3 этапа: предварительный, текущий и заключительный.

1-я стадия предварительного контроля осуществляется до фактического начала работ. Если, например, говорить о кадровой работе, то это предполагает тщательную оценку должностных обязанностей различных категорий сотрудников.

Текущий контроль осуществляется непосредственно в ходе проводимых работ. Чаще всего объектами текущего контроля становятся исполнители, а субъектом- непосредственный начальник. Текущий контроль предполагает регулярную проверку работы подчиненных, обсуждение возникающих проблем и предложений по совершенствованию.

Заключительный контроль- самый отработанный на практике этап. Предполагает анализ ошибок и наказание виновных. Этот этап, во-первых, дает руководству информацию, необходимую для планирования в случае, если аналогичные работы предполагается проводить в будущем, а во-вторых, способствует мотивации и повышению ответственности. По результатам проверок возможно: устранение причин, изменение состава объекта, отладка технологии процесса, изменение требований по защищенности, изменение правил, избежать негативных ситуаций.

Анализ и использование результатов проведения контрольных мероприятий.

Понятие аудита ИБ

Цель контроля - выявить слабые места системы, допущенные ошибки, своевременно исправить их и не допустить повторения.

Процесс контроля включает три стадии:

-Установление фактического состояния СЗИ;

-Анализ сравнения фактического положения с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;

-Разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.

При принятии управленческого решения контроль выступает как источник информации, использование которого позволяет судить о содержании управленческой работы, ее качестве, результативности. Отказаться от контроля нельзя, так как это будет означать утрату информации, и, следовательно, потерю управлению. Контроль не является самоцелью и нужен для того, чтобы качественно обеспечить выполнение принятых решений.

Основными задачами контроля являются: Определение обоснованности и практической целесообразности проводимых мероприятий по ЗИ, выявление фактического состояния СЗИ в данный период времени; установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных; изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.

Меры контроля представляются собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включают:

- Проверку выполнения сотрудниками требований по обеспечению сохранности КТ. Такая проверка может проводиться в течение рабочего дня руководителем предприятия, его замом, начальниками объектов.

- Проверку выполнения пропускного режима, то есть проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранника (на месте или нет, проверяет пропуска или нет). Может проводиться ежедневно начальником охраны объекта.

- Проверку выполнения сотрудниками правил работы с конфи док-тами (правила хранения, размножения и копирования) проводится замом руководителя в любое время.

- Проверку наличия защищаемых носителей конфиденциальной информации проводят сотрудники предприятия в конце рабочего дня.

При этом могут применяться след. виды контроля: предварительный, текущий и заключительный. Предварительный контроль обычно реализуется в форме определенной политики, процедур и правил. Текущий контроль осуществляется, когда работа уже идет и обычно производится в виде контроля работы подчиненного его непосредственным начальником. Заключительный контроль осуществляется после того, как работа закончена и истекло отведенное для нее время.

Также с целью обеспечения систематического наблюдения за уровнем защиты может осуществляться периодический контроль. Он может быть гласным и негласным. Периодический контроль проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работают.

Добросовестное и постоянно выполнение сотрудниками требования по ЗИ основывается на рациональном сочетании способов побуждения и принуждения. Поэтому на эффективность защиты влияет климат на предприятии, который формируется его руководством.

3.1. Особенности правовой защиты ГТ.

Определение понятия ГТ. Правовые основы защиты ГТ.

Понятие о перечнях сведений, составляющих государственно тайну. Принципы и порядок отнесения сведений к ГТ. Степени секретности сведений.

Порядок распоряжения сведениями, составляющими ГТ. Особенности передачи сведений, составляющих ГТ, другим государствам. Ограничение прав обладателя информации в связи с ее засекречиванием. Органы по защите ГТ и их полномочия.

Контроль и надзор за обеспечением защиты ГТ. Уголовно-правовая защита информации, составляющей ГТ.

ГТ - это защищаемая государством инфа в области военной, внешнеполитической, экономической(научной), разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности РФ.

Система защиты ГТ - это органы, защищающие ГТ, применяемые ими методы и средства защиты сведений, а также мероприятия, проводимые в этих целях.

Законодательство РФ о ГТ: Конституция РФ, Закон РФ "О безопасности", Закон РФ "О ГТ", а также положения других актов законодательства, регулирующих отношения, связанные с защитой ГТ.

Органы госвласти и должностные лица (полномочия в области отнесения сведений к ГТ):

1.Палата Федерального собрания (осуществляет законодательное регулирование отношений в области ГТ).

2.Президент РФ (утверждает гос. программы в области защиты ГТ, структуру межведомств. комиссии по защите ГТ, перечень должн. лиц органов гос. власти, наделенных полномочиями отнесения сведений к ГТ, а также сам Перечень).

3.Правительство РФ (управляет процессом по своим министерствам)

4.МВК по защите ГТ (коорд. действия органов гос. власти по защите ГТ, коллегиальный орган).

5.Органы гос. власти на местах.

6.Органы судебной власти (обеспечивают судебную защиту граждан, органов гос. власти, предприятий, учреждений и организаций в связи с их деятельностью по защите ГТ)

Перечень сведений, составляющих ГТ, - совокупность категорий сведений, в соответствии с которыми сведения относятся к ГТ и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

Сущ. два вида перечня: - Открытый, утвержденный президентом РФ, определяющий общие направления деятельности в 6 областях, в отношении которых инфа может быть засекречена (ведомственный перечень, имеющий гриф).

Принципы отнесения сведений к ГТ:

- Законность - соответствие засекречиваемых сведений имеющимся перечням разрешений и запретов;

- Обоснованность - установление путем экспертной оценки целесообразности отнесения сведений к ГТ, с учетом вероятных эконом. или иных последствий исходя из баланса жизненноважных интересов гос-ва, общ-ва и граждан;

- Своевременность - заключается в установлении ограничений на распространение сведений с момента их разработки или заблаговременно.

Порядок отнесения сведений к ГТ

- Обоснование необходимости отнесения сведений к ГТ органами, которые разрабатывали эти сведения.

- Осуществляется в соответствии с Перечнем сведений, составляющих ГТ, уполномоченным лицами (руководители силовых ведомств и прочие, они указаны в перечне)

- Уполномоченные органы государственной власти разрабатывают развернутые перечни сведений, подлежащих засекречиванию. Эти перечни могут быть засекречены.

Порядок засекречивания:

Основанием для засекречивания сведений является их соответствие действующим в данных органах, предприятиях учреждениях и организациях перечням сведений, подлежащих засекречиванию. Носителям присваивается соответствующий гриф секретности.

При невозможности идентификации полученных сведений - сведениям, содержащимися в действующем перечне, должностные лица обязаны предварительно засекретить их в соответствии с предполагаемой степенью секретности и в месячный срок направить в адрес должностного лица, утвердившего перечень, предложения по его дополнению (изменению).

Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев организовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности.

Реквизиты:

Государство, в отношении сведений, составляющих ГТ устанавливает три степени секретности инфы и соотв. этим степеням грифы секретности для носителей указанных сведений, в соответствии со степенью тяжести и возможного ущерба в случае их распространения: С - ущерб интересам предприятий и организаций, СС - ущерб министерствам/отраслям экономики, ОВ - нанесение ущерба государству в целом.

На носителе сведений ГТ наносятся реквизиты, включающие следующие данные:

- О степени секретности (Гриф, правый верх. угол) со ссылкой на соотв. пункт перечня сведений, составлен. на предприятии;

- О предприятии, осущ. засекречивание носителя;

- Регистрационный номер;

- Дата и условия рассекречивания;

Порядок распоряжения:

Взаимная передача сведений (носителей) составляющих ГТ, если между передающими нет отношений подчиненности и совместных работ, осуществляется с санкции органа гос. власти, в распоряжении которого находятся эти сведения. Органы гос. власти или предприятия, запрашивающие "сведения", должны иметь лицензию на работу с секретными сведения соотв. грифа.

Решение о передаче сведений, составляющих ГТ, другим государствам или международным организациям принимается Правительством РФ при наличии экспертного заключения МВК по защите ГТ о возможности передачи этих сведений. Обязательства принимающей стороны по защите передаваемых ей сведений предусматриваются заключаемым с ней договором (соглашением).

Ограничение прав обладателя:

Должностные лица, наделенные полномочиями по отнесению сведений к ГТ, вправе принимать решения о засекречивании информации, перечисленные в Перечне сведений, отнесенных к ГТ. Засекречивание указанной информации осуществляется по представлению собственников информации.

Материальный ущерб, наносимый собственнику информации возмещается государством в размерах, определяемых в договоре. В договоре предусматриваются обязательства собственника информации по ее нераспространению. При отказе собственника информации от подписанного договора он предупреждается об ответственности.

Собственник вправе обжаловать в суд действия должностных лиц. В случае признания судом действий должностных лиц незаконными порядок возмещения ущерба определяется решением суда.

Не может быть ограничено право собственности на информацию иностранных организаций и иностранных граждан, если эта инфа получена (разработана) ими без нарушения законодательства РФ.

Органы по защите ГТ и их полномочия.

- МВК по защите ГТ (координирует деятельность органов по защите ГТ)

- Силовые структуры и их территориальные органы; (организуют и обеспечивают защиту ГТ в соответствии с функциями, возложенными на них законодательством РФ)

- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите ГТ. (В соответствии с возложенными на них задачами и в пределах своей компетенции. Руководитель несет персональную ответственность, может создавать структурные подразделения по защите ГТ и т.п.)

Контроль и надзор за обеспечением защиты ГТ.

Контроль за обеспечением защиты ГТ осуществляют Президент РФ, Правительство РФ в пределах полномочий, определяемых Конституцией РФ, федеральными конституционными законами и ФЗ.

Контроль за обеспечением защиты ГТ в Администрации Президента РФ, в аппаратах палат Федерального Собрания, Правительства РФ организуется их руководителями.

Надзор за соблюдением законодательства при обеспечении защиты ГТ и законностью принимаемых при этом решений осуществляют Генеральный прокурор РФ и подчиненные ему прокуроры.

Предусмотрена ответственность за гос. измену (выдача информации, иная помощь иностранной разведке - от 12 до 20 лет, штраф до 500тыс.р.), шпионаж (передача, сбор, похищение или пр. для иностранных служб - от 10 до 20 лет), разглашение ГТ (без гос измены - арест 4-6 месяцев, или лишение свободы до 4 лет; по неосторожности с тяжкими последствиями - от 3 до 7 лет.), утрата док-тов (лишение свободы до 3 лет, арест от 4-6 месяцев.)

3.2. Особенности правовой защиты служебной тайны.

Определение понятия служебной тайны. Правовые основы защиты служебной тайны. Виды информации, относящейся к служебной тайне.

Меры по охране конфиденциальности информации ограниченного доступа, переданной в государственные органы юридическими и физическими лицами.

Полномочия руководителя федерального органа в отношении использования собственной служебной тайны.

Также под коммерческой тайной могут подразумевать саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам.

Инфа, составляющая КТ - инфа имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;

Правовые основы защиты КТ.

1. Право на отнесение информации к КТ, и на определение ее перечня и состава принадлежит обладателю такой.

2. Инфа, самостоятельно полученная лицом при осуществлении исследований, наблюдений или иной деятельности, считается полученной законным способом даже если содержание такой информации может совпадать с содержанием информации, составляющей КТ, обладателем которой является другое лицо.

3. Инфа, составляющая КТ, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом.

Установление режима КТ:

1) определение перечня информации, составляющей КТ;

2) ограничение доступа к информации, составляющей КТ, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая инфа была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей КТ, работниками на основании трудовых;

5) нанесение на материальные носители (док-ты), содержащие информацию, составляющую КТ, грифа "Коммерческая тайна" с указанием обладателя этой информации.

Разглашение информации, составляющей коммерческую тайну - действие или бездействие, в результате которых инфа, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

За разглашение (умышленное или неосторожное), а также за незаконное использование информации, составляющей коммерческую тайну, предусмотрена ответственность -- дисциплинарная, гражданско-правовая, административная, уголовная и материальная. Материальная ответственность наступает независимо от других форм ответственности.

3.3. Особенности правовой защиты КТ.

Определение понятия КТ. Правовые основы защиты КТ.

Установление режима КТ. Охрана КТ в трудовых отношениях. Практические аспекты использования законодательства о КТ. Особенности правовой охраны секретов производства (ноу-хау) в режиме КТ.

Ответственность за правонарушения, связанные с незаконным сбором, разглашением или использованием информации, составляющей КТ.

КТ - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; инфа, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим КТ;

Режим КТ - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей КТ, меры по охране ее конфиденциальности;

Правовые основы защиты КТ.

1. Право на отнесение информации к КТ и на определение ее перечня и состава принадлежит обладателю такой.

2. Инфа, самостоятельно полученная лицом при осуществлении исследований, наблюдений или иной деятельности, считается полученной законным способом, даже если содержание такой информации может совпадать с содержанием информации, составляющей КТ, обладателем которой является другое лицо.

4. Инфа, составляющая КТ, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей КТ, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта инфа составляет КТ, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.

Сведения, которые не могут составлять КТ:

1) содержащихся в учредительных док-тах юрлица, док-тах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в док-тах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства РФ и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юрлица;

11) обязательность раскрытия которых или недопустимость ограничения доступа, к которым установлена иными федеральными законами.

Обязательства:

1. Обладатель КТ, по мотивированному требованию органа государственной власти(местного самоуправления и выше) предоставляет им на безвозмездной основе информацию, составляющую КТ.

2. В случае отказа обладателя информации предоставить ее органу, данные органы вправе затребовать эту информацию в судебном порядке.

3. Обладатель информации, а также органы, получившие инфу, обязаны предоставить ее по запросу судов, органов прокуратуры, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в соотв. с законодательством РФ.

4. На таких док-тах должен быть гриф "КТ" с указанием ее обладателя (для юр.лиц - полное наименование и место нахождения, для инд.предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Права обладателя КТ, которым является физлицо или юрлицо, обладающие на законном основании информацией, составляющей КТ и полным объемом прав на нее. Обладатель информации КТ, полученной в рамках трудовых отношений - это работодатель. В случае получения работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя информации, отношения между работником и работодателем регулируются в соответствии с законодательством РФи:

1) устанавливать, изменять и отменять в письменной форме режим КТ;

2) использовать информацию для собственных нужд (не противореча ФЗ);

3) разрешать или запрещать доступ к информации, определять порядок и условия доступа к этой информации;

4) вводить в гражданский оборот данную информацию, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;

5) требовать от юридических и физических лиц, получивших доступ к информации, соблюдения обязанностей по охране ее конфиденциальности;

6) требовать от лиц, получивших доступ к информации, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;

7) защищать в установленном законом порядке свои права, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.

Установление режима КТ:

1) определение перечня информации, составляющей КТ;

3) учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая инфа была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей КТ, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (док-ты), содержащие информацию, составляющую КТ, грифа "КТ" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Охрана конфиденциальности:

1) исключается доступ к информации, составляющей КТ, любых лиц без согласия ее обладателя;

2) обеспечивается возможность использования информации, составляющей КТ, работниками и передачи ее контрагентам без нарушения режима КТ.

В рамках трудовых отношений:

1) ознакомить под расписку работника, доступ которого к информации, составляющей КТ, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей КТ, обладателями которой является работодатель и его контрагенты;

2) ознакомить под расписку работника с установленным работодателем режимом КТ и с мерами ответственности за его нарушение;

3) создать работнику необходимые условия для соблюдения им установленного работодателем режима КТ.

Работник обязан: 1) выполнять установленный работодателем режим КТ; 2) не разглашать информацию, составляющую КТ и без согласия работодателя не использовать эту информацию в личных целях; 3) не разглашать информацию, составляющую КТ после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось; 4) возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей КТ, ставшей ему известной в связи с исполнением им трудовых обязанностей; 5) передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую КТ.

В общих, либо отдельных инструкциях должно быть изложено:

- классификацию информации, содержащей КТ со сроками действия;

- систему допуска своих сотрудников и гостей к КТ;

- порядок работы с док-тами, содержащими КТ;

- формализацию обязанностей лиц, работающих с КТ;

- порядок обеспечения сохранности док-тов с КТ;

- четкий перечень ответственности за нарушение КТ и утрату док-тов.

Уровень конфиденциальности устанавливается на основе инструкций, действующих внутри организации. "ДСП" ставится на телефонных справочниках, данных о кадровом составе и торговых партнерах организации. "Конфиденциально" относится инфа об отдельных аспектах торговых сделок, развернутых сведений о персонале и об итогах деятельности организации за короткий промежуток времени, а также техническая и иная инфа о продукции, важная для их продажи на рынке. "Строго конфиденциально" присваивается важной научно-технической информации. "Конф особый контроль" имеют самые важные док-ты коммерческой деятельности (стратегия организации) и детальная технологическая док-тация. Все эти грифы не имеют правовой основы только - КТ.

Особенности правовой охраны секретов производства(ноу-хау) в режиме КТ

Секрет производства (ноу-хау) - сведения любого характера, в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам. Автор и обладатель могут быть разными лицами. Автору принадлежит право авторства, которое является неотчуждаемым личным правом, а имущественные права принадлежат обладателю. Для возникновения имущественных прав на Ноу-хау (денежных) не требуется осуществления формальностей, например, регистрации.

Имущественные права возникают в силу факта создания и принятия определенных мер по охране, хотя обладатель добровольно может зарегистрировать Ноу-хау. Имущественные права обладателя Ноу-хау включают право использования в собственном производстве или передачи прав на использование по договору другому лицу полностью или частично или по гражданско-правовому договору (купля-продажа), либо по лицензионному договору на территорию и срок.

Закон четко регламентирует наличие у обладателя имущественного права, он имеет право на: защиту (административную, судебную и прочую) принадлежащих ему прав, на возмещение убытков, причиненных ему в нарушении его прав третьими лицами при условии, что инфа была получена третьими лицами без согласия обладателя, третье лицо не знало, что получение информации незаконно и обладатель не мог пресечь такое использование.

Ответственность за нарушение законодательства о КТ

1. Нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ.

2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством РФ.

3. Органы, получившие доступ к информации, составляющей КТ, несут перед обладателем информации гражданско-правовую ответственность за разглашение или незаконное использование этой информации.

4. Лицо, которое не имело достаточных оснований считать использование данной информации незаконным, в т.ч. получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим ФЗ быть привлечено к ответственности.

5. По требованию обладателя информации, составляющей КТ, лицо обязано принять меры по охране конфиденциальности информации. При отказе такого лица принять указанные меры обладатель информации, составляющей КТ, вправе требовать в судебном порядке защиты своих прав

3.4. Особенности правовой защиты персональных данных.

Определение понятия персональные данные. Правовые основы защиты персональных данных.

Разница между понятиями "неприкосновенность частной жизни" и "персональные данные" как объектов права. Общедоступные источники персональных данных. Специальные категории персональных данных. Биометрические персональные данные. Право субъекта персональных данных на доступ к своим персональным данным.

Обязанности оператора персональных данных. Классификация информационных систем персональных данных.

ПДн - любая инфа, относящаяся к прямо или косвенно определенному или определяемому физлицу (субъекту персональных данных);

Оператор ПДн - гос., муниципальный орган, физ. Лицо, организация и\или осуществляющий обработку ПДн, а так же определяющие цель и содержание обработки.

Обработка ПДн - включает сбор, систематизацию, накопление, хранение, уточнение, обновление и изучение.

Конфиденциальность ПДн - обязательства для соблюдения оператором или иным получившим доступ к ПДн лицом, требования, не допускать их разглашения или распространения без согласия.

Правовые основы защиты

ФЗ "О ПДн", ФЗ "Об инф., инф. технол. и ЗИ", закрепляющий принцип неприкосновенности частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, Указ Президента РФ, утверждающий "Перечень сведений конф характера"

Разница между понятием "неприкосновенность частной жизни" и "ПДн" как объектов права:

НЧЖ - это конституционное право человека на защиту тайны личной жизни, неприкосновенности жилища без согласия.

ПДн - любая инфа, относящаяся к определенному или определяющему физ. Лицу (субъект ПДн)

ФИО, год рождения, адрес, семейное положение, образование и т.д. - малочувствительные ПДн.

Общедоступные источники персональных данных: Создаются в целях информационного обеспечения (справочники, адресные книги). В них с письменного согласия субъекта ПДн могут включаться его ФИО, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн. Сведения дб в любое время исключены из общедоступных источников по требованию субъекта ПДн, либо по решению суда или иных уполномоченных государственных органов.

Специальные категории ПДн

Специальные ПДн - расовые, национальные, политические взгляды, религиозные убеждения, состояние здоровья и т.п.

Обработка специальных категорий ПДн не допускается, за исключением некоторых случаев.

1) субъект ПДн дал согласие в письменной форме на обработку;

2) ПДн являются общедоступными;

3) ПДн относятся к состоянию здоровья и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов его или других лиц, и получение согласия субъекта ПДн невозможно;

4) обработка ПДн осуществляется в медико-профилактических целях при условии, что обработка персональных данных осуществляется лицензированным врачом, обязанным сохранять врачебную тайну;

5) обработка ПДн членов (участников) общественного объединения или религиозной организации осуществляется этим объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными док-тами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн;

6) обработка ПДн необходима в связи с осуществлением правосудия;

7) обработка ПДн осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ. (О судимости может осуществляться гос. органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ)

4. Обработка специальных категорий ПДн, дб незамедлительно прекращена, если устранены причины обработки.

Биометрические ПДн. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические ПДн), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, законодательством РФ об оперативно-розыскной деятельности.

Право субъекта ПДн на доступ к своим ПДн. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект ПДн вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обязанности оператора ПДн. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию.

Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

	(данные до 1000 субъектов или субъектов одной организации)	(данные от 1000 до 100000 субъектов или субъектов отрасли в пределах муниципального района)	(данные более 100000 субъектов или субъектов региона)
Категория 4 (обезличенные и (или) общедоступные персональные данные)	Класс 4 (К4) (нарушение, заданной характеристики безопасности персональных данных не приводит к негативным последствиям для субъектов персональных данных)	Класс 4 (К4) (нарушение, заданной характеристики безопасности персональных данных не приводит к негативным последствиям для субъектов персональных данных)	Класс 4 (К4) (нарушение, заданной характеристики безопасности персональных данных не приводит к негативным последствиям для субъектов персональных данных)
Категория 3 (персональные данные, позволяющие идентифицировать субъекта данных)	Класс 3 (К3) (нарушение, заданной характеристики безопасности персональных данных может привести к незначительным негативным последствиям для субъектов персональных данных)	Класс 3 (К3) (нарушение, заданной характеристики безопасности персональных данных может привести к незначительным негативным последствиям для субъектов персональных данных)	Класс 2 (К2) (нарушение, заданной характеристики безопасности персональных данных может привести к негативным последствиям для субъектов ) персональных данных
Категория 2 (персональные данные, позволяющие идентифицировать субъекта данных и получить о нем дополнительную информацию, за исключением данных категории 1	Класс 3 (К3) (нарушение, заданной характеристики безопасности персональных данных может привести к незначительным негативным последствиям для субъектов персональных данных )	Класс 2 (К2) (нарушение, заданной характеристики безопасности персональных данных может привести к негативным последствиям для субъектов персональных данных)	Класс 1 (К1) (нарушение, заданной характеристики безопасности персональных данных может привести к значительным негативным последствиям для субъектов ) персональных данных
Категория 1 (персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни)	Класс 1 (К1) (нарушение, заданной характеристики безопасности персональных данных может привести к значительным негативным последствиям для субъектов персональных данных)	Класс 1 (К1) (нарушение, заданной характеристики безопасности персональных данных может привести к значительным негативным последствиям для субъектов персональных данных )	Класс 1 (К1) (нарушение, заданной характеристики безопасности персональных данных может привести к значительным негативным последствиям для субъектов персональных данных)

3.5. Правовое регулирование отношений в сфере авторского права.

Определение авторских прав как интеллектуальных прав на произведения литературы, науки и искусства. Действие исключительных прав на эти произведения. Возникновение авторского права. Соавторство. Объекты авторских прав и объекты, на которые не распространяются авторские права. Личные неимущественные права. Исключительные имущественные права. Знак охраны авторского права. Срок действия исключительного права на произведение. Переход произведения в общественное достояние и переход исключительного права на произведение по наследству. Принцип исчерпания исключительных авторских прав на оригинал или экземпляр опубликованного произведения. Законодательно установленные случаи и порядок свободного воспроизведения и использования произведения. Порядок распоряжения автора своим исключительным правом. Договор об отчуждении исключительного права на произведение. Лицензионный договор о предоставлении права использования произведения. Права автора служебного произведения.

ч.4 ГК РФ Интеллектуальные права на произведения науки, литературы и искусства являются авторскими правами. Автором признается гражданин, творческим трудом которого оно создано. Лицо, указанное в качестве автора на оригинале или экземпляре произведения, считается его автором, если не доказано иное. Возникает авторское право с момента создания произведения.

Права автора:

1) исключительное право на произведение; 2) право авторства; 3) право автора на имя; 4) право на неприкосновенность произведения; 5) право на обнародование произведения. А также право на вознаграждение за использование служебного произведения, право на отзыв, право следования, право доступа к произведениям изобразительного искусства и другие.

Исключительное право на произведения науки, литературы и искусства распространяется:

- на произведения, обнародованные на территории РФ или необнародованные, но находящиеся в какой-либо объективной форме на территории РФ, и признается за авторами (их правопреемниками) независимо от их гражданства;

- на произведения, обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, и признается за авторами, являющимися гражданами РФ (их правопреемниками);

- на произведения, обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, и признается на территории РФ за авторами (их правопреемниками) - гражданами других государств и лицами без гражданства в соответствии с международными договорами РФ.

Для возникновения, осуществления и защиты авторских прав не требуется регистрация произведения или соблюдение каких-либо иных формальностей. В отношении программ для ЭВМ и баз данных возможна регистрация.

Соавторство

- Граждане, создавшие произведение совместным творческим трудом, признаются соавторами (неважно образует ли произведение неразрывное целое или состоит из частей самостоятельного значения).

- К отношениям соавторов, связанным с распределением доходов применяются правила из ГК.

- Каждый из соавторов вправе самостоятельно принимать меры по защите своих прав, в любом случае.

Объекты авторских прав:

Произведения науки, литературы и искусства независимо от достоинств и назначения произведения, а также от способа его выражения. (хореографические произведения и пантомимы; музыкальные произведения; аудиовизуальные произведения, дизайна; произведения декоративно-прикладного и сценографического искусства; произведения архитектуры; фотографические произведения; географические, геологические и другие карты и т.п.) и программы для ЭВМ, которые охраняются как литературные произведения.

Авторские права не распространяются на идеи, концепции, принципы, методы, процессы, системы, способы решения технических, организационных или иных задач, открытия, факты, языки программирования.

Не являются объектами авторских прав:

1) официальные док-ты государственных органов и органов местного самоуправления муниципальных образований, в том числе законы, другие нормативные акты, судебные решения, иные материалы законодательного, административного и судебного характера, официальные док-ты международных организаций, а также их официальные переводы;

2) государственные символы и знаки (флаги, гербы, ордена, денежные знаки и тому подобное), а также символы и знаки муниципальных образований;

3) произведения народного творчества (фольклор), не имеющие конкретных авторов;

4) сообщения о событиях и фактах, имеющие исключительно информационный характер (сообщения о новостях дня, программы телепередач, расписания движения транспортных средств и тому подобное).

Авторские права распространяются на часть произведения, на его название, на персонаж произведения, если по своему характеру они могут быть признаны самостоятельным результатом творческого труда автора и отвечают требованиям статьи.

Личными неимущественными правами являются:

право авторства; право использования произведение под своим именем; право разрешать обнародовать произведение в любой форме; право на отзыв произведения от обнародования; право на защиту от искажения. Они не связаны с имущественными, действуют бессрочно.

Имущественными правами автора являются:

Исключительное право на использование произведения в любой форме и любым способом. Т.е. право осуществлять или разрешать другим, воспроизводить, распространять (продавать, сдавать в прокат), импортировать экземпляры, публично показывать, публично использовать и так далее.

Положение о первой продаже (принцип исчерпания прав)- т.е. если экземпляры произведения правильно введены в гражданский оборот путем продажи, они могут и дальше распространяться без согласия автора и без выплаты (компенсации) авторского вознаграждения. Право сдачи в прокат принадлежит автору. Имущественные права автора не позволяют тиражировать его произведения без его разрешения и без выплаты ему вознаграждения по договору.

Допускается без согласия автора и без выплаты ему авторского вознаграждения: воспроизведение правомерно обнародованного произведения исключительно в личных целях (кроме, репродукции книг, нот, программ для ЭВМ, а также воспроизведения архитектуры в форме здания); цитирование в оригинале и переводе текстов (со ссылкой на автора); использование произведений в качестве отрывков и иллюстраций в радиопередачах, учебных пособий; воспроизведение в обзорах текущих событий, газетных, журнальных статей, речей и так далее, и все это в объеме, который оправдывает цели; репродукции в единичном экземпляре книг для восстановления книг в библиотеке или в архиве;

Знак охраны авторского права помещается на каждом экземпляре произведения и состоит из следующих элементов: латинской буквы "C" в окружности; имени или наименования правообладателя; года первого опубликования произведения.

Срок действия исключительного права на произведение.

1. Действует в течение всей жизни автора и 70 лет, считая с 1 января года, следующего за годом смерти автора. Созданное в соавторстве - считается по пережившему соавторов.

2. На произведение, обнародованное анонимно или под псевдонимом, срок истекает через 70 лет, считая с 1 января года, следующего за годом его правомерного обнародования. Если за это время автор произведения раскроет свою личность или его личность не будет далее оставлять сомнений, то по пункту 1.

3. Обнародованное после смерти автора - в течение 70 лет после обнародования произведения, считая с 1 января года, следующего за годом его обнародования, при условии, что произведение было обнародовано в течение 70 лет после смерти автора.

Переход произведения в общественное достояние:

1. По истечении срока действия исключительного права произведение, как обнародованное, так и необнародованное, переходит в общественное достояние. Оно может свободно использоваться любым лицом без чьего-либо согласия или разрешения и без выплаты авторского вознаграждения. При этом охраняются авторство, имя автора и неприкосновенность произведения.

2. Перешедшее в общественное достояние необнародованное произведение может быть обнародовано любым лицом, если только обнародование произведения не противоречит воле автора, определенно выраженной им в письменной форме (в завещании, письмах, дневниках и тому подобном).

Исключительное право на произведение переходит по наследству в соответствии с законом, либо завещанием. При отсутствии наследников по закону и по завещанию, также в некоторых других случаях имущество умершего признается выморочным и переходит в собственность РФ.

Библиотека предоставляет экземпляры произведений, правомерно введенные в гражданский оборот, во временное безвозмездное пользование, такое пользование допускается без согласия автора или иного правообладателя и без выплаты вознаграждения. При этом выраженные в цифровой форме экземпляры произведений, предоставляемые библиотеками во временное безвозмездное пользование - только в помещениях библиотек при условии исключения возможности создать копии этих произведений в цифровой форме.

Создание произведения в жанре литературной, музыкальной или иной пародии, либо в жанре карикатуры на основе другого (оригинального) правомерно обнародованного произведения и использование этой пародии, либо карикатуры допускаются без согласия автора оригинала путем репродуцирования, правомерно опубликованного произведения, отдельных статей опубликованных в сборниках (библиотеками и архивами), постоянно находящегося в месте, открытом для свободного посещения, публичное исполнение музыкального произведения (во время официальной или религиозной церемонии, либо похорон), воспроизведение произведения для целей правоприменения (производство по делу об административном правонарушении), воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для ЭВМ

Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе внести в программу для ЭВМ или базу данных изменения исключительно в целях их функционирования, изготовить копию программы для ЭВМ или базы данных (для архивных целей)

Распоряжение исключительным правом

Правообладатель может распорядиться принадлежащим ему исключительным правом любым законным способом. (договор об отчуждении исключительного права, лицензионный договор). По договору об отчуждении исключительного права на произведение автор или иной правообладатель передает или обязуется передать принадлежащее ему исключительное право на произведение в полном объеме приобретателю такого права.

Лицензионным договором Предоставляется право использования этого произведения в установленных договором пределах. Начало использования программы или базы данных пользователем, означает согласие пользователя на заключение договора.

В отношении служебных произведений утвержден принцип авторского права на произведение (принадлежит автору), созданное в порядке выполнения служебного задания. (работодатель имеет исключительное право на его использование, если договором не предусмотрено иное.) Если работодатель в течение трех лет со дня, не начнет использование этого или не сообщит автору о сохранении произведения в тайне, исключительное право перейдет автору. Если работодатель начнет использование служебного произведения (или решит сохранить в тайне), автор имеет право на вознаграждение. Если исключительное право принадлежит автору, работодатель вправе использовать его способами, обусловленными целью служебного задания, а также обнародовать, если договором не предусмотрено иное.

Смежные права

Интеллектуальные права на результаты исполнительской деятельности (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач (вещание организаций эфирного и кабельного вещания), на содержание баз данных, а также на произведения науки, литературы и искусства, впервые обнародованные после их перехода в общественное достояние, являются смежными с авторскими правами (смежными правами). Знак правовой охраны смежных прав Помещается на каждом оригинале или экземпляре. Состоит из трех элементов - латинской буквы "P" в окружности, имени или наименования обладателя исключительного права, года первого опубликования фонограммы.

3.6. Правовое регулирование отношений в сфере прав, смежных с авторскими (смежные права)

Определение прав, смежных с авторскими, как интеллектуальных прав на результаты исполнительской деятельности (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач (вещание организаций эфирного и кабельного вещания), на содержание баз данных, а также на произведения науки, литературы и искусства, обнародованные после их перехода в общественное достояние. Знак правовой охраны смежных прав.

Организации, осуществляющие коллективное управление авторскими и смежными правами и правовые основы деятельности.

Смежные права

Интеллектуальные права на результаты исполнительской деятельности (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач, на содержание баз данных, а также на произведения науки, литературы и искусства, впервые обнародованные после их перехода в общественное достояние, являются смежными с авторскими правами (смежными правами).

Знак правовой охраны смежных прав

Помещается на каждом оригинале или экземпляре. Состоит из трех элементов - латинской буквы "P" в окружности, имени или наименования обладателя исключительного права, года первого опубликования фонограммы.

Субъектами смежных прав по российскому законодательству являются следующие категории правообладателей:

-- исполнители;

-- производители фонограмм (изготовители фонограмм);

-- организации эфирного или кабельного вещания;

-- изготовители баз данных;.

Права исполнителей признаются в силу того, что их творческое участие необходимо для того, чтобы дать жизнь, например, музыкальным произведениям, кинофильмам, и в силу того, что они имеют оправданный интерес в правовой охране их индивидуальных интерпретаций.

Права производителей записей признаются в силу того, что их творческие, финансовые и организационные ресурсы необходимы для доведения записанного звука до аудитории в виде коммерческих фонограмм (на материальных носителях).

Права организаций вещания признаются вследствие их роли в доведении произведений до широкой аудитории и в связи с оправданностью их интереса в осуществлении контроля за передачей и ретрансляцией их вещательных передач

Что касается обеспечения защиты прав, то средства судебной защиты от случаев нарушения смежных прав, как правило, аналогичны средствам, которыми располагают обладатели авторского права -- это:

-- охранительные или временные меры;

-- гражданско-правовые средства защиты;

-- уголовные санкции;

-- а также меры, средства судебной защиты и санкции против злоупотреблений в отношении технических устройств.

Срок действия исключительного права на объекты смежных прав согласно Гражданскому кодексу РФ:

-- на исполнение действует в течение всей жизни исполнителя, но не менее 50 лет, считая с 1 января года, следующего за годом, в котором осуществлены исполнение, либо запись исполнения, либо сообщение исполнения в эфир или по кабелю;

-- на фонограмму действует в течение 50 лет, считая с 1 января года, следующего за годом, в котором была осуществлена запись. В случае обнародования фонограммы исключительное право действует в течение 50 лет, считая с 1 января года, следующего за годом, в котором она была обнародована при условии, что фонограмма была обнародована в течение 50 лет после ее записи;

-- на сообщение радио- или телепередачи действует в течение 50 лет, считая с 1 января года, следующего за годом, в котором имело место сообщение радио- или телепередачи в эфир или по кабелю;

-- исключительное право изготовителя базы данных возникает в момент завершения ее создания и действует в течение 15 лет, считая с 1 января года, следующего за годом ее создания; срок возобновляется при каждом обновлении базы данных;

-- исключительное право публикатора на произведение (к которому приравнивается программа для ЭВМ) возникает в момент обнародования этого произведения и действует в течение 25 лет, считая с 1 января года, следующего за годом его обнародования.

По истечении данных сроков действия указанные выше объекты переходят в общественное достояние.

3.7. Правовое регулирование отношений в сфере патентного права

Определение патентных прав, как интеллектуальных прав на изобретения, полезные модели и промышленные образцы. Понятие автора и соавтора объекта патентного права. Понятие патента. Условия патентоспособности.

Право авторства. Право на получение патента. Исключительное право на изобретение, полезную модель и промышленный образец, сроки действия исключительных прав, порядок распоряжения исключительным правом.

Порядок получения патента. Государственная регистрация объектов патентных прав. Приоритет изобретения, полезной модели и промышленного образца. Особенности правовой охраны и использования секретных изобретений.

Защита прав авторов изобретений, полезных моделей и промышленных образцов и патентообладателей.

Патентные права - это интеллектуальные права на изобретения, полезные модели и промышленные образцы.

Автору изобретения, полезной модели или промышленного образца принадлежат 1) исключительное право; 2) право авторства.

Автором изобретения, полезной модели или промышленного образца признается гражданин, творческим трудом которого создан соответствующий результат интеллектуальной деятельности (РИД). Лицо, указанное в качестве автора в заявке на выдачу патента считается автором изобретения, если не доказано иное.

Соавторы изобретения

1. Граждане, создавшие изобретение, полезную модель или промышленный образец совместным творческим трудом, признаются соавторами.

2. Каждый из соавторов вправе использовать изобретение, полезную модель или промышленный образец по своему усмотрению, если соглашением между ними не предусмотрено иное.

3. Распоряжение правом на получение патента на изобретение, полезную модель или промышленный образец осуществляется авторами совместно.

4. Каждый из соавторов вправе самостоятельно принимать меры по защите своих прав на изобретение, полезную модель или промышленный образец.

Патент - док-т, выдаваемый от имени государства лицу, подавшему заявку в установленном законом порядке, в подтверждение его прав на изобретение, полезную модель или промышленный образец. Патент на изобретение, полезную модель или промышленный образец удостоверяет приоритет изобретения, полезной модели или промышленного образца, авторство и исключительное право на изобретение, полезную модель или промышленный образец.

Не могут быть объектами патентных прав: 1) способы клонирования человека; 2) способы модификации генетической целостности клеток зародышевой линии человека; 3) использование человеческих эмбрионов в промышленных и коммерческих целях; 4) иные решения, противоречащие общественным интересам, принципам гуманности и морали.

Патент на изобретение, полезную модель или промышленный образец

2. Охрана интеллектуальных прав на изобретение или полезную модель предоставляется на основании патента в объеме, определяемом содержащейся в патенте формулой изобретения или соответственно полезной модели. Для толкования формулы изобретения и формулы полезной модели могут использоваться описание и.

3. Охрана интеллектуальных прав на промышленный образец предоставляется на основании патента в объеме, определяемом совокупностью его существенных признаков, нашедших отражение на изображениях изделия и приведенных в перечне существенных признаков промышленного образца.

Условия патентоспособности изобретения

Новизна, изобретательский уровень, промышленная применимость. Обстоятельства, в силу которых раскрытие информации не препятствует признанию патентоспособности изобретения, имели место, лежит на заявителе. Не являются изобретениями: открытия, научные теории и математические методы; решения, касающиеся только внешнего вида изделий; правила и методы игр, интеллектуальной или хозяйственной деятельности; программы для ЭВМ; решения, заключающиеся только в представлении информации. (Заявка на выдачу патента на изобретение касается этих объектов как таковых. Не предоставляется правовая охрана в качестве изобретения 1) сортам растений, породам животных и биологическим способам их получения, за исключением микробиологических способов и продуктов, полученных такими способами; 2) топологиям интегральных микросхем.

Право авторства - право признаваться автором изобретения, полезной модели или промышленного образца, неотчуждаемо и непередаваемо, в том числе при передаче другому лицу или переходе к нему исключительного права на изобретение, полезную модель или промышленный образец и при предоставлении другому лицу права его использования. Отказ от этого права ничтожен.

Право на получение патента на изобретение, полезную модель или промышленный образец

1. Право на получение патента на изобретение, полезную модель или промышленный образец первоначально принадлежит автору изобретения, полезной модели или промышленного образца, может перейти к другому лицу (правопреемнику) или быть ему передано в случаях и по основаниям, которые установлены законом. Договор об отчуждении права на получение патента должен быть заключен в письменной форме. Иначе недействителен. Риск непатентоспособности несет приобретатель такого права, или в соответствии с договором.

Исключительное право на изобретение, полезную модель или промышленный образец

1. Патентообладателю принадлежит исключительное в соответствии законодательством. Патентообладатель может распоряжаться исключительным правом.

2. Использованием изобретения, полезной модели или промышленного образца считается, в частности:

1) ввоз на территорию РФ, изготовление, применение, предложение о продаже, продажа, иное введение в гражданский оборот или хранение;

2) Если продукт является новым, идентичный продукт считается полученным путем использования запатентованного способа, поскольку не доказано иное;

3. Изобретение или полезная модель признаются использованными в продукте если можно опознать каждый признак изобретения или полезной модели, приведенный в независимом пункте содержащейся в патенте формулы, либо признак, эквивалентный ему.

Сроки действия

1. Срок действия исключительного права на изобретение, полезную модель, промышленный образец и удостоверяющего это право патента исчисляется со дня подачи первоначальной заявки на выдачу патента: 20 лет - для изобретений; 10 лет - для полезных моделей; 15 лет - для промышленных образцов.

Защита исключительного права может быть осуществлена лишь после государственной регистрации.

2. Если со дня подачи заявки на выдачу патента на изобретение ( лекарственные средства, пестициды или агрохимикаты), до дня получения первого разрешения на его применение прошло более 5 лет, срок действия исключительного права продлевается по заявлению патентообладателя. (Не больше чем на пять лет.) Заявление подается в период действия патента ( не позже 6 месяцев) с даты получения разрешения или даты выдачи патента.

Получение патента

Заявка подается в федеральный орган исполнительной власти по интеллектуальной собственности лицом, обладающим правом на получение. Представляется на русском языке, или с переводом прилагающихся док-тов. Должно быть подписано заявителем или его представителем. Прилагается док-т, подтверждающий уплату патентной пошлины в установленном размере, или док-т, подтверждающий основания освобождения от уплаты, уменьшения размера, отсрочки уплаты патентной пошлины. Заявка Должна содержать информацию об изобретении, полезной модели или промышленного образца, владельце.

Приоритет изобретения Устанавливается по дате подачи заявки или дополнительных материалов. Если ранее поданная не была отозвана. Можно подать возражение на решение.

Если совпали даты приоритета изобретения, полезной модели или промышленного образца, патент может быть только по одной заявке. В течение двенадцати месяцев заявители должны сообщить в этот федеральный орган о достигнутом ими соглашении. Не поступило значит заявка отозвана.

Формальная экспертиза заявки на изобретение Проверяется наличие необходимых док-тов в соответствии с законодательством. О результате формальной экспертизы и о дате подачи заявки уведомляет заявителя незамедлительно. Если заявка не соответствует установленным требованиям направляет заявителю запрос с предложением в течение двух месяцев со дня получения им запроса представить исправленные или недостающие док-ты. Иначе отозвана. Если заявка на изобретение подана с нарушением требования единства изобретения, аналогично - запрос.

Публикация сведений о заявке на изобретение В официальном бюллетене сведения о заявке на изобретение. Состав публикуемых сведений определяется федеральным органом. Автор изобретения вправе отказаться быть упомянутым. Любое лицо после публикации сведений вправе ознакомиться с док-тами заявки.

Экспертиза заявки Информационный поиск в отношении заявленного изобретения для определения уровня техники, по сравнению с которым будет осуществляться оценка новизны и изобретательского уровня изобретения; проверку соответствия заявленного изобретения условиям патентоспособности.(в теч. 6 месяцев) Срок мб продлен. Если заявитель в установленный срок не представит запрашиваемые материалы или не подаст ходатайство о продлении этого срока, заявка признается отозванной. (6 мес.)

Решение о выдаче патента

1.Соответствует условиям патентоспособности => принимает решение о выдаче патента на изобретение с этой формулой.

2. Заявка на изобретение признается отозванной в соответствии с положениями настоящей главы на основании решения федерального органа исполнительной власти по интеллектуальной собственности, за исключением случая, когда она отзывается заявителем.

3. Решения об отказе в выдаче могут быть оспорены заявителем путем подачи возражения в палату по патентным спорам в течение шести месяцев со дня получения им решения.

Защита прав авторов и патентообладателей

1. Споры, связанные с защитой патентных прав, рассматриваются судом. Например: 1) об авторстве изобретения, полезной модели, промышленного образца; 2) об установлении патентообладателя; 3) о нарушении исключительного права на изобретение, полезную модель или промышленный образец; 4) о заключении, об исполнении, об изменении и о прекращении договоров о передаче исключительного права (отчуждении патента) и лицензионных договоров на использование изобретения, полезной модели, промышленного образца; 5) о праве преждепользования; 6) о праве послепользования; 7) о размере, сроке и порядке выплаты вознаграждения автору изобретения, полезной модели или промышленного образца в соответствии с настоящим Кодексом; 8) о размере, сроке и порядке выплаты компенсаций, предусмотренных настоящим Кодексом.

Патентообладатель вправе в соответствии с подпунктом 5 пункта 1 статьи 1252 настоящего Кодекса потребовать публикации в официальном бюллетене федерального органа исполнительной власти по интеллектуальной собственности решения суда о неправомерном использовании изобретения, полезной модели, промышленного образца или об ином нарушении его прав.

3.8. Права на средства индивидуализации юридических лиц и индивидуальных предпринимателей, а также на средства индивидуализации производимых ими товаров, выполняемых работ или оказываемых услуг.

Право на товарный знак как средство обозначения, служащее для индивидуализации товаров юридических лиц или индивидуальных предпринимателей, а также для индивидуализации выполняемых ими работ или оказываемых ими услуг. Обладатель исключительного права на товарный знак. Виды товарных знаков. Свидетельство на товарный знак. Государственная регистрация товарного знака, основания для отказа в регистрации. Использование товарного знака и распоряжение исключительным правом на товарный знак. Последствия неиспользования товарного знака.

Понятие общеизвестного товарного знака и особенности правовой охраны и использования такого знака. Защита права на товарный знак. Ответственность за незаконное использование товарного знака.

Товарный знак и знак обслуживания (ТовЗ) - обозначения, служащие для индивидуализации товаров, выполняемых работ или оказываемых услуг (товары) юр и физ лиц

Предназначен для идентификации производителя и защиты товаров и услуг от подделки. При выборе между аналогичными по значению товарами, производящими фирмами потребитель ориентируются на товарный знак. Товарный знак должен обладать высокими различительными свойствами:

- первой функцией - идентификация, обеспечивающая выделение товара среди других ему подобных;

- вторая функция - донесение до потребителя информации о качестве продукта,

- реклама, упаковка с нанесенным товарным знаком выделяется среди других

1. Правовая охрана ТЗн на основании его государственной регистрации (далее - регистрация) в порядке, установленном настоящим Законом, или в силу международных договоров РФ.

2. Право на товарный знак охраняется законом.

3. Обладатель исключительного права на товарный знак - юрлицо или осуществляющее предпринимательскую деятельность физлицо (ИП)

Свидетельство на товарный знак

1. выдается на зарегистрированный ТовЗ. , 2. удостоверяет приоритет ТовЗ, исключительное право на товарный знак в отношении указанных товаров, т.е. правообладатель вправе использовать товарный знак и запрещать использование его другими лицами.

Нарушение исключительного права правообладателя - использование без его разрешения в гражданском обороте на территории РФ товарного знака или сходного с ним до степени смешения товарного знака:

- на товарах, на этикетках, упаковках этих товаров, которые вводятся в гражданский оборот на территории РФ, либо хранятся и (или) перевозятся с этой целью, либо ввозятся на территорию РФ;

- при выполнении работ, оказании услуг;

- на док-тации, связанной с введением товаров в гражданский оборот;

- в предложениях к продаже товаров;

- в сети Интернет, в частности в доменном имени и при других способах адресации.

Виды товарных знаков. ТЗн бывают: 1. Словесные, изобразительные, звуковые, объемные и другие обозначения или их комбинации. Могут быть выражены в любом цвете или цветовом сочетании.

Абсолютные основания для отказа в регистрации

1. Обозначения не обладают различительной способностью или состоят только из элементов:

- вошедших во всеобщее употребление для обозначения товаров определенного вида;

- являющихся общепринятыми символами и терминами;

- характеризующих товары. (Вид, качество, количество, свойство, назначение, ценность, время, место и пр.)

- представляющих собой форму товаров. (Определяется исключительно или главным образом свойством либо назначением товаров)

2. В соответствии с международным договором РФ не допускается регистрация в качестве ТовЗ обозначений, состоящих только из элементов (государственные гербы, флаги и другие государственные эмблемы, сокращенные или полные наименования международных межправительственных организаций, их гербы, флаги и другие эмблемы, официальные контрольные, гарантийные и пробирные клейма, печати, награды и. )

3. Не допускается регистрация в качестве ТовЗ обозначений, представляющих собой или содержащих элементы:

- являющиеся ложными или способными ввести в заблуждение потребителя отн-но товара или его изготовителя;

- противоречащие общественным интересам, принципам гуманности и морали.

4. Обозначения, тождественных или сходных до степени смешения с официальными наименованиями и изображениями особо ценных объектов культурного наследия народов РФ.

5. Обозначений, содержащих элементы, охраняющихся в одном из государств-участников международного договора ( идентифицирующих вина или спиртные напитки, имеющие особое качество, репутацию или др. характеристики, определяющиеся их происхождением.)

Иные основания для отказа в регистрации

1. Тождественные или сходные до степени смешения с:

- товарными знаками других лиц, заявленными на регистрацию;

- товарными знаками других лиц, признанными общеизвестными в РФ.

допускается лишь с согласия правообладателя.

- с наименованиями мест происхождения товаров.

Регистрация товарного знака

Осуществляется федеральным органом исполнительной власти по интеллектуальной собственности в Государственном реестре товарных знаков и знаков обслуживания РФ

1. Заявка на регистрацию товарного знака

- заявление о регистрации (Тов.з с указанием заявителя, его места нахождения или места жительства) - заявляемое обозначение; - перечень товаров, в отношении которых испрашивается регистрация; - описание заявленного обозначения.

Заявка подается на русском языке, подписанная заявителем.

2. Приоритет товарного знака 3. Экспертиза заявки на товарный знак 4. Формальная экспертиза 5. Экспертиза заявленного обозначения 6. Обжалование решения по заявке и восстановление пропущенных сроков 7. Регистрация товарного знака 8. Выдача свидетельства на товарный знак 9. Срок действия регистрации 10. Внесение изменений в регистрацию 11. Публикация сведений о регистрации 12. Регистрация товарного знака в зарубежных странах

В соответствии с законом процесс экспертизы заявки включает этап предварительной экспертизы и экспертизы заявленного обозначения - окончательная экспертиза. Выносится решение о регистрации или нет, можно оспорить.

Использование товарного знака и последствия его неиспользования

1. Использование товарного знака - применение его на товарах, для которых товарный знак зарегистрирован. Применение его в рекламе, печатных изданиях, на официальных бланках, на вывесках и пр.

2. Юридические и физические лица, осуществляющие посредническую деятельность, могут использовать свой товарный знак вместе или без использования ТовЗ изготовителя.

3. Правовая охрана товарного знака может быть прекращена досрочно в связи с неиспользованием ТовЗ непрерывно в течение любых трех лет после его регистрации. Заявление об этом мб подано любым лицом в Палату по патентным спорам.

Доказательства использования товарного знака представляются правообладателем.

Общеизвестный товарный знак

Общеизвестным может быть признан товарный знак, если он или обозначение в результате их интенсивного использования стали широко известны среди соответствующих потребителей в отношении товаров этого лица. Общеизвестному товарному знаку предоставляется правовая охрана, предусмотренная настоящим Законом для товарного знака.

Охрана общеизвестного товарного знака распространяется также и на товары, не однородные с теми, в отношении которых он признан общеизвестным. Предупредительная маркировка (R) ставится рядом с ТовЗ

Предоставление правовой охраны общеизвестному товарному знаку

1.Предоставляется на основании решения Палаты по патентным спорам.

2. Товарный знак вносится федеральным органом исполнительной власти по интеллектуальной собственности в Перечень общеизвестных в РФ товарных знаков (далее - Перечень).

3. Выдача свидетельства на него осуществляется в течение месяца с даты внесения ТовЗ в Перечень.

4. Сведения, относящиеся к общеизвестному товарному знаку, публикуются в официальном бюллетене.

5. Правовая охрана общеизвестного товарного знака действует бессрочно.

Ответственность за незаконное использование:

1. Правообладатель вправе требовать изъятия из оборота и уничтожения за счет нарушителя контрафакт. Если введение таких товаров в оборот необходимо в общественных интересах, правообладатель вправе требовать удаления за счет нарушителя с контрафактных товаров - ТовЗ.

2. Правообладатель вправе требовать выплаты компенсации: 1) в размере от 10тыс до 5 миллионов рублей, определяемом по усмотрению суда исходя из характера нарушения; 2) в двукратном размере стоимости товаров (незаконно размещено наименование места происхождения товара)

3. Лицо, производящее предупредительную маркировку по отношению к не зарегистрированному в РФ наименованию места происхождения товара, несет ответственность в законодательном порядке.

4.1. Организация работы по определению состава, засекречиванию и рассекречиванию конфиденциальной информации.

Установление и изменение степени ограничения доступа сведений, содержащихся в работах, док-тах и изделиях.

Правила отнесения сведений, составляющих ГТ, к различным степеням секретности. Присвоение и изменение грифа секретности работам, док-там и изделиям. Понятие "рассекречивание сведений". Основания для рассекречивания сведений, док-тов и изделий.

Организация работы по определению состава, засекречиванию и рассекречиванию конфиденциальной информации.

Засекречивание информации -- это совокупќность организационно-правовых мер, регламентированных законами и другими нормативными актами, по введению ограничений на расќпространение и использование защищаемой информации в интереќсах ее собственника (владельца).

Отнесение сведений к ГТ осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью.

Обоснование необходимости отнесения сведений к ГТ в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).

Отнесение сведений к ГТ осуществляется в соответствии с Перечнем сведений, составляющих ГТ.

Органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к ГТ, в соответствии с Перечнем сведении отнесенных к ГТ, разрабатываются развернутые перечни сведений, подлежащих засекречиванию. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Целесообразность засекречивания таких перечней определяется их содержанием.

МВК.Формирует Перечень сведений, отнесенных к ГТ. При необходимости проводит межведомственную эксќпертизу правомерности отнесения сведений к государственной тайќне.

Согласовывает распределение между министерствами, веќдомствами и другими органами государственной власти полномочий но распоряжению от лица государства сведениями, отнесенными к ГТ.Готовит Перечень для утверждения Президентом РФ и к опубликованию, представляет его на рассмотрение Правительства РФ.Степени секретности: соотв-т степени ущерба для РФ: С, СС, ОВ.

Степени секретности:

Степень секретности сведений, составляющих ГТ, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих ГТ, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Порядок определения размеров ущерба, который может быть нанесен безопасности РФ вследствие распространения сведений, составляющих ГТ, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством РФ.

Правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством РФ. По истечении установленных сроков засекречивания информации и в случае понижения степени секретности информации или отмены решения об отнесении ее к ГТ, м\б обеспечено изменение грифа секретности или рассекречивание информации.

Рассекречивание сведений и их носителей -- снятие раќнее введенных в предусмотренном в законе о ГТ поќрядке ограничений на распространение сведений, составќляющих ГТ, и на доступ к их носитеќлям. Основаниями для рассекречивания сведений являются: 1)взятие на себя РФ международных обязательств по открытому обмену сведениями, составќляющими в РФ ГТ; 2)изменение объективных обстоятельств, вследствие коќторого дальнейшая защита сведений, составляющих госуќдарственную тайну, является нецелесообразной. Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к госуќдарственной тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание дейстќвующих перечней сведений, подќлежащих засекречиванию, в части обоснованности засекреќчивания сведений и их соответствия установленной ранее степени секретности. Срок засекречивания сведений, составляющих ГТ, не должен превышать 30 лет. В исключиќтельных случаях этот срок может быть продлен по заключению МВК по защите ГТ. Правом изменения действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за обоснованность принятых ими решений по рассекречиванию сведений. Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к ГТ, подлежат согласованию с МВК по защите ГТ, которая вправе приостанавливать и опротестовывать эти решения.

4.2. Лицензирование деятельности предприятия по проведению работ, связанных с использованием сведений, составляющих ГТ.

Основные цели, задачи, функции уполномоченных органов по ведению лицензионной деятельности. Порядок лицензирования деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих ГТ, созданием средств защиты информации, осуществлением мероприятий и (или) оказанием услуг по защите ГТ. Организация и проведение специальных экспертиз предприятий. Порядок рассмотрения заявлений предприятий о выдаче лицензии. Основания для выдачи (отказе) в выдаче лицензии, приостановлении действия или о ее аннулировании. Порядок проведения государственной аттестации руководителей предприятий.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юрлицу или ИП.

Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории РФ требуется получение лицензии в соответствии с настоящим Федеральным законом.

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением док-тов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании.

лицензирующие органы - федеральные органы исполнительной власти, органы исполнительной власти субъектов РФ, осуществляющие лицензирование в соответствии с настоящим Федеральным законом;

лицензиат - юрлицо или ИП, имеющие лицензию на осуществление конкретного вида деятельности;

соискатель лицензии - юрлицо или ИП, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии на осуществление конкретного вида деятельности;

реестр лицензий - совокупность данных о предоставлении лицензий, переоформлении док-тов, подтверждающих наличие лицензий, приостановлении и возобновлении действия лицензий и об аннулировании лицензий.

Основной док-т, регулирующий деятельность в области лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих ГТ: Положение N 333 от 15.04.1995 года. (Последняя редакция от 22.05.2008 N384). О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих ГТ, созданием средств ЗИ, а также с осуществлением мероприятий и (или) оказанием услуг по защите ГТ.

Органы, уполномоченные на ведение лицензионной деятельности по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих ГТ:

-- Федеральная служба безопасности РФ и ее территориальные органы (на территории РФ),

-- Служба внешней разведки РФ (за рубежом);

на право проведения работ, связанных с созданием средств ЗИ:

-- Федеральная служба по техническому и экспортному контролю и ее территориальные органы,

-- Служба внешней разведки РФ,

-- Министерство обороны РФ,

-- Федеральная служба безопасности РФ (в пределах их компетенции)

Данные службы лицензирует руководители министерств РФ, которым подчинены указанные предприятия.

Экспертиза Лицензии выдаются на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей. Для получения лицензии должны соблюдаться следующие условия:

-- соблюдение требований законодательных и иных нормативных актов РФ по обеспечению защиты сведений, составляющих ГТ

-- наличие в структуре предприятия подразделения по защите ГТ и необходимого числа специально подготовленных сотрудников для работы по ЗИ

-- наличие на предприятии сертифицированных средств ЗИ, соответствующих степени секретности.

Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических док-тов по режиму секретности, противодействию иностранным техническим разведкам и ЗИ от утечки по техническим каналам, а также соблюдения других условий, необходимых для получения лицензии. Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности РФ, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки РФ, Министерство обороны РФ, другие министерства и ведомства РФ и Государственная корпорация по атомной энергии "Росатом".

Порядок проведения специальных экспертиз предприятий определяются инструкциями, которые разрабатываются указанными государственными органами и согласовываются с МВК. Специальные экспертизы проводятся на основе договора между предприятием и органом, проводящим специальную экспертизу. Расходы по проведению специальных экспертиз относятся на счет предприятия. Специальные экспертизы аттестационных центров проводят Федеральная служба безопасности РФ, Федеральная служба по техническому и экспортному контролю, Служба внешней разведки РФ, Министерство обороны РФ и их органы на местах (в пределах их компетенции).

Порядок рассмотрения заявления

Для получения лицензии заявитель представляет в соответствующий орган, уполномоченный на ведение лицензионной деятельности:

а) заявление о выдаче лицензии с указанием: наименования и организационно-правовой формы, юридического адреса предприятия, номера его расчетного счета в банке; вида деятельности, на осуществление которого должна быть выдана лицензия; срока действия лицензии; б) копии учредительных док-тов (с предъявлением оригиналов, в случае если копии не заверены нотариусом);

в) копию док-та, подтверждающего факт внесения записи о юридическом лице в Единый государственный реестр юридических лиц;

г) копии док-тов, подтверждающих право собственности, право полного хозяйственного ведения и (или) договора аренды на имущество, необходимое для ведения заявленного вида деятельности;

д) справку о постановке на учет в налоговом органе;

е) док-т, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии.

Заявитель несет ответственность за достоверность представляемых им сведений.

На каждый вид деятельности выдается отдельная лицензия. В случае если лицензируемый вид деятельности осуществляется на нескольких территориально обособленных объектах, лицензиату одновременно с лицензией выдаются заверенные копии с указанием местоположения каждого объекта. Копии лицензий регистрируются органом, уполномоченным на ведение лицензионной деятельности. Предприятие может иметь лицензии на несколько видов деятельности.

Орган, уполномоченный на ведение лицензионной деятельности, принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня получения заявления со всеми необходимыми док-тами. В случае необходимости проведения дополнительной экспертизы предприятия решение принимается в 15-дневный срок после получения заключения экспертизы, но не позднее чем через 60 дней со дня подачи заявления о выдаче лицензии и необходимых для этого док-тов.

Отказ в выдаче лицензии

Письменное уведомление об отказе в выдаче лицензии с указанием причин отказа направляется заявителю в 3-дневный срок после принятия соответствующего решения. Основанием для отказа в выдаче лицензии является: наличие в док-тах, представленных заявителем, недостоверной или искаженной информации; отрицательное заключение экспертизы; отрицательное заключение по результатам государственной аттестации руководителя предприятия.

Аттестация руководителя Государственная аттестация руководителей предприятий организуется органами, уполномоченными на ведение лицензионной деятельности, а также министерствами и ведомствами РФ Государственной корпорацией по атомной энергии "Росатом".

Органы, уполномоченные на ведение лицензионной деятельности, приостанавливают действие лицензии или аннулируют ее в случае:

-- предоставления лицензиатом соответствующего заявления;

-- обнаружения недостоверных данных в док-тах, представленных для получения лицензии; нарушения лицензиатом условий действия лицензии;

-- невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления этими государственными органами деятельности предприятия в соответствии с законодательством РФ;

-- ликвидации предприятия.

Решение о приостановлении, возобновлении и аннулировании лицензии принимается органом, выдавшим лицензию. Орган, уполномоченный на ведение лицензионной деятельности, в 3-дневный срок со дня принятия решения о приостановлении действия лицензии или о ее аннулировании в письменной форме уведомляет об этом лицензиата и органы Государственной налоговой службы РФ. Действие лицензии приостанавливается со дня получения лицензиатом указанного уведомления. После уведомления владельца лицензии о ее аннулировании она подлежит возврату в 10-дневный срок в орган, ее выдавший. В случае изменения обстоятельств, повлекших приостановление действия лицензии, действие лицензии может быть возобновлено.

Лицензия считается возобновленной после принятия органом, уполномоченным на ведение лицензионной деятельности, соответствующего решения, о котором не позднее чем в 3-дневный срок с момента принятия он оповещает лицензиата и органы Государственной налоговой службы РФ.

4.3. Порядок сертификации средств защиты информации.

Участники сертификации и их функции. Виды средств защиты информации, подлежащих сертификации. Порядок проведения сертификации средств защиты информации. Понятие о сертификате соответствия и знаках соответствия СЗИ-ГТ. Инспекционный контроль. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих ГТ, средства, в которых они реализованы, а также средства контроля эффективности ЗИ являются средствами ЗИ и подлежат сертификации.

Системы сертификации создаются ФСТЭК, ФСБ, МинОбороны РФ, Службой внешней разведки в рамках своих компетенций.

Сертификация средств ЗИ осуществляется на основании требований государственных стандартов, нормативных док-тов.

Координацию работ по организации сертификации средств ЗИ осуществляет МВК по защите ГТ.

В каждой системе сертификации разрабатываются и согласовываются с МВК положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Участниками сертификации средств ЗИ являются:

-- федеральный орган по сертификации;

-- создает системы сертификации;

-- осуществляет выбор способа подтверждения соответствия средств ЗИ требованиям нормативных док-тов;

-- устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств ЗИ и испытательных лабораторий;

-- определяет центральный орган для каждой системы сертификации;

-- выдает сертификаты или лицензии на применение знака соответствия;

-- ведет государственный реестр участников сертификации и сертифицированных средств ЗИ;

-- осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицир.и средствами ЗИ, а также устанавливает порядок инспекционного контроля;

-- рассматривает апелляции по вопросам сертификации;

-- представляет на государственную регистрацию в Комитет РФ по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;

-- устанавливает порядок признания зарубежных сертификатов;

-- приостанавливает или отменяет действие выданных сертификатов.

-- центральный орган системы сертификации (создаваемый при необходимости) - орган, возглавляющий систему сертификации однородной продукции;

-- организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств ЗИ и испытательных лабораторий, входящих в систему сертификации;

-- ведет учет входящих в систему сертификации органов по сертификации средств ЗИ и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;

-- обеспечивает участников сертификации информацией о деятельности системы сертификации.

-- органы по сертификации средств ЗИ - органы, проводящие сертификацию определенной продукции;

-- сертифицируют средства ЗИ, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;

-- приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;

-- принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств ЗИ;

-- формируют фонд нормативных док-тов, необходимых для сертификации;

-- представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.

-- испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

-- изготовители - продавцы, исполнители продукции.

-- производят (реализуют) средства ЗИ только при наличии сертификата;

-- извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств ЗИ;

-- маркируют сертифицир. средства ЗИ знаком соответствия в порядке, установленном для данной системы сертификации;

-- указывают в сопроводительной технической док-тации сведения о сертификации и нормативных док-тах, которым средства ЗИ должны соответствовать, а также обеспечивают доведение этой информации до потребителя;

-- применяют сертификат и знак соответствия, руководствуясь законодательством РФ и правилами, установленными для данной системы сертификации;

-- обеспечивают соответствие средств ЗИ требованиям нормативных док-тов по ЗИ;

-- обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию и контроль за сертифицир.и средствами ЗИ;

-- прекращают реализацию средств ЗИ при несоответствии их требованиям нормативных док-тов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Сертификат соответствия -- док-т, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Знак соответствия -- спец знак, ставящийся на товаре или упаковке товара, показывающий соответствие этого товара тому или иному стандарту, требованиям сертификационных организаций. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации

Орган по сертификации средств ЗИ в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных док-тов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости -- решение о проведении и сроках предварительной проверки производства средств ЗИ.

Основными схемами проведения сертификации средств ЗИ являются:

-- для единичных образцов средств ЗИ - проведение испытаний этих образцов на соответствие требованиям по ЗИ;

-- для серийного производства средств защиты информации -- проведение типовых испытаний образцов средств ЗИ на соответствие требованиям по ЗИ и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств ЗИ, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе.

Срок действия сертификата не может превышать пяти лет.

Федеральный орган по сертификации и органы по сертификации средств ЗИ имеют право приостанавливать или аннулировать действие сертификата в случаях: изменение нормативных и методических док-тов по защите информации в части требований к средствам ЗИ, методам испытаний и контроля; изменение технологии изготовления, конструкции (состава), комплектности средств ЗИ и системы контроля их качества; отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственный контроль и надзор, инспекционный контроль за сертификацией и сертифицир.и средствами ЗИ.

Инспекционный контроль за сертифицир.и средствами ЗИ осуществляют органы, проводившие их сертификацию.

4.4. Порядок допуска и доступа персонала и иных лиц к конфиденциальной информации.

Допуск должностных лиц и граждан к ГТ. Основания для отказа или прекращения допуска. Ограничение прав. Переоформление допуска. Назначение и формы допусков к ГТ, порядок оформления и учета. Особенности доступа к конфиденциальной информации. Назначение, принципы и задачи разрешительной системы доступа к информации ограниченного доступа. Порядок оформления разрешения на доступ. Особенности доступа к информации лиц, командированных из других предприятий. Порядок допуска и доступа персонала и иных лиц к конфиденциальной информации.

Порядок допуска и доступа персонала и иных лиц к ГТ регулирует: Постановление Правительства РФ от 28 октября 1995 г. N 1050 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к ГТ"

Допуск- процедура оформления права граждан на доступ к сведениям, сост. ГТ. Допуск к ГТ осуществляется в добровольном порядке.

Доступ - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими ГТ.

Допуск должностных лиц и граждан к ГТ предусматривает:

-принятие на себя обязательств перед государством по нераспространению доверенных им сведений;

-согласие на частичные, временные ограничения их прав.

-письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;

-определение видов, размеров и порядка предоставления льгот, предусмотренных законом о ГТ;

-ознакомление с нормами законодательства РФ о ГТ, предусматривающими ответственность за его нарушение;

-принятие решения руководителем органа организации о допуске оформляемого лица к сведениям, составляющим ГТ.

Устанавливаются три формы допуска к ГТ: к сведениям ОВ, СС или С. Если есть более высокая степень, то автоматом допуск и к более низкой.

Основания для отказа допуска: 1).признание его судом недееспособным, нахождение под судом; 2). наличие у него медицинских противопоказаний, согласно перечню, утверждаемому МинЗдрав РФ; 3).постоянное проживание гражданина и (или) его близких родственников за границей; 4).уклонение его от проверочных мероприятий и (или) сообщение им заведомо ложных анкетных данных.

Основания для прекращения допуска: 1).расторжения с ним трудового договора; 2).нарушения им обязательств, связанных с защитой ГТ; 3).возникновение оснований для отказа допуска к ГТ

Ограничение прав: 1).право выезда за границу на срок; 2).право на распространение сведений, составляющих ГТ, и на использование открытий и изобретений, содержащих такие сведения; 3). право на неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к ГТ.

На каждого гражданина, оформляемого на допуск по первой или второй форме, кадровый аппарат представляет в подразделение по защите ГТ, а подразделение по защите ГТ направляет в орган безопасности следующие док-ты:

а) мотивированное письмо о необходимости оформления допуска к ГТ; б) анкета; в) 1 экземпляр карточки(форма 3) на допуск работников по первой и второй формам; г) 2 или 3 экземпляра списка на оформляемого гражданина и его близких родственников

На граждан, оформляемых на допуск по третьей форме, кадровыми аппаратами составляются общие (в алфавитном порядке) списки лиц, подлежащих допуску к секретным сведениям. Карточка (форма 3) с отметкой органа безопасности о проведении проверочных мероприятий, связанных с допуском гражданина к особой важности или совершенно секретным сведениям, возвращается без сопроводительного письма и хранится в подразделении по защите ГТ организации вместе с договором (контрактом) об оформлении допуска к ГТ (форма 9) в спец картотеке, составленной в алфавитном порядке.

Порядок оформления разрешения на доступ

- составлением именных списков с указанием в них ФИО, должности, категории док-тов или сведений, которыми ему разрешается пользоваться;

- составлением должностных списков, в которых указываются должности исполнителей и объем док-тов и сведений, которыми необходимо пользоваться лицам, занимающим ту или иную должность;

- заведением карточек-разрешений с указанием в необходимых случаях срока пользования док-тами;

- написанием разрешений на самих док-тах (в виде резолюций или других разрешающих надписей);

- указанием в распорядительных док-тах фамилий лиц и конкретных док-тов, к которым они должны быть допущены.

На карточках подписывается руководитель РСО. Списки пересматриваются один раз в год (более низкая степень пересматривается 1 раз в 2 года).

Разрешительная система - это совокупность правовых норм, устанавливаемых администрацией предприятия (организации) в соответствии с действующими инструкциями и положениями с целью обеспечения правомерного доступа исполнителей к закрытым сведениям. Разрешительная система должна: Обеспечивать производственную деятельность исполнителей путем предоставления им необходимого для выполнения их функций объема секретных док-тов и сведений. Исключать возможность необоснованного и излишнего ознакомления исполнителей к док-там и сведениям. Ограничивать круг лиц, допускаемых к таким док-там и сведениям, исключать доступ к ним посторонних лиц.

Организация управления доступом исполнителей к секретным док-там и сведениям на предприятиях должна основываться на следующих основных принципах:

- директивного распределения руководителем предприятия прав полномочий на управление доступом между руководящим составом предприятия и его структурных подразделений;

- дифференцированного подхода к осуществлению доступа, то есть учета важности сведений, в отношении которых решается вопрос о допуске;

- док-тальное оформление принятых решений по осуществлению доступа к секретным сведениям;

- периодического контроля за соблюдением требований разрешительной системы.

Задачами разрешительной системы являются:

1. Обеспечение успешной производственной деятельности исполнителей путем предоставления им необходимого для выполнения их функций объема секретных док-тов и сведений.

2. Исключение возможности необоснованного и излишнего ознакомления исполнителей с секретными док-тами и сведениями.

3. Ограничение круга лиц, допускаемых к секретным док-там и сведениям, исключение доступа к ним посторонних лиц.

Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Основное назначение формы допуска - обеспечить допуск конкретного работника к тем сведениям и той секретности, которая необходима ему для выполнения служебных обязанностей, предусмотренных номенклатурой должностей на данном предприятии. Форма допуска также служит док-том, по которому определяются пределы и степень доступа работника, в т.ч. во время его служебной командировки на других предприятиях.

В подготовке к оформлению допуска участвуют отдел кадров и подразделение по защите ГТ. Существуют возрастные ограничения:

-- лица, не достигшие 16-летнего возраста, могут быть в исключительных случаях допущены только к секретным сведениям. При этом руководитель предприятия несет персональную ответственность;

-- лица, не достигшие 18-летнего возраста, к сведениям ОВ не допускаются, к СС могут быть допущены лишь в исключительных случаях. Руководители предприятий также несут персональную ответственность.

Лицо, оформляемое на допуск, заполняет анкету (форма 2 инстр-ии 0126), в которой обязано указывать достоверные сведения. Работник отдела кадров проводит ознакомительную беседу. В ходе этой беседы работник отдела кадров обязан:

-- сверить указанные в анкете данные с личными док-тами оформляемого, такими, как паспорт, военный билет, трудовая книжка, свидетельство о рождении, диплом об образовании;

-- выяснить представляющие интерес сведения, не предусмотренные вопросами анкеты, такие, как наличие родственников за границей, ходатайство о выезде на постоянное место жительства за границу, причины частой смены работы;

-- выяснить, имел ли оформляемый за последний год отношение к секретным док-там, давал ли обязательства по неразглашению таких сведений;

Далее анкета оформляемого на допуск подписывается работником отдела кадров и заверяется печатью.

Порядок оформления допуска по 1 и 2 форме.

На каждого гражданина, оформляемого на допуск, отдел кадров представляет в подразделение по защите ГТ следующие док-ты: анкету, которая является несекретной, в одном экземпляре; 2 фотокарточки; списки на оформляемое лицо и его ближайших родственников(форма 4, зд. и далее - формы из инстр-и 126), которые являются несекретными, как правило, в трех экземплярах.

Работник этого подразделения проверяет правильность заполнения и оформления этих док-тов, заполняет в одном экземпляре карточку (форма 3), которая является допуском, наклеивает фотокарточку и заверяет печатью. Регистрирует эту карточку в журнале учета карточек доступа работников по 1 и 2 форме допуска (форма 10). С этого момента карточка является секретной.

Затем заполняется согласование с ФСБ в одном или двух экземплярах и учетная карточка по форме 5, которая является несекретной, и подготавливается сопроводительное письмо в ФСБ о необходимости допуска к ОВ и СС сведениям в двух экземплярах (секретно).

После проведения ФСБ проверочных мероприятий карточка по форме 3 возвращается в организацию без сопроводительного письма. Решение о допуске гражданина к ОВ и СС сведениям оформляется распоряжением руководителя организации в карточке формы 3 в графе 8, заверяется его подписью с печатью организации.

После получения заполняется журнал формы 10 и в графе 4 этого журнала проставляется номер допуска. После оформления журнала заключается договор (контракт) с работником. Этот договор вместе с карточкой по форме 3 хранится в подразделении по защите ГТ в спец картотеке в алфавитном порядке.

Порядок оформления допуска по 3 форме (без согласования).

Реальная потребность в такого рода допусках определяется на предприятии его руководителем совместно с подразделением по защите ГТ. Отдел кадров на основании письменного ходатайства руководителя структурного подразделения беседует с оформляемыми, на основании их анкет составляет списки лиц, подлежащих допуску к секретным сведениям по форме 6. Списки являются несекретными. Списки составляются в алфавитном порядке, утверждаются руководителем предприятия и это является основанием для допуска указанных лиц к секретным сведениям. На каждое лицо, получившее допуск по форме 3, подразделение по защите ГТ заводит карточку по форме 8, которая является допуском, с указанием номера списка формы 6 и даты утверждения руководителем предприятия этого списка. Заполненные карточки заверяются подписью руководителя или его заместителя и печатью подразделения по защите ГТ, регистрируются в журнале формы 10 отдельно от карточек допуска 1 и 2 формы, хранятся в подразделении по защите ГТ вместе с договорами и контрактами в спец картотеке в алфавитном порядке в течение всего периода работы в данной организации, отдельно от карточек по форме 3.

Особенности оформления допусков к конфиденциальной информации обусловлены прежде всего правом собственности на информацию. Порядок оформления регламентируется организацией - собственником информации.

Вторая составная часть разрешительной системы - это непосредственный доступ сотрудника к конкретным сведениям.

Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях. Это дает возможность разделить знание элементов защищаемой информации среди как можно большего числа сотрудников.

Организация управления доступом исполнителей к секретным док-там и сведениям на предприятиях должна основываться на следующих основных принципах:

-- директивное распределение руководителем предприятия прав и полномочий на управление доступом между руководящим составом предприятия и его структурных подразделений;

-- дифференцированный подход к осуществлению доступа, то есть учет важности сведений, в отношении которых решается вопрос о доступе;

-- док-тальное оформление принятия решения по осуществлению доступа к секретным сведениям;

-- периодический контроль за соблюдением требований разрешительной системы.

Док-тальное оформление каждого выданного руководителем разрешения на доступ может производиться следующими способами:

-- составлением именных списков с указанием в них фамилии, имени, отчества исполнителя, занимаемой им должности, категорий док-тов или сведений, которыми ему разрешается пользоваться (списки на право пользования делами, на право участия в секретных совещаниях и т. д.);

-- составлением должностных списков, в которых указываются должности исполнителей и объем док-тов и сведений, которыми необходимо пользоваться лицам, занимающим ту или иную должность;

-- заведений карточек-разрешений (форма 78 или 79) с указанием в необходимых случаях срока пользования док-тами;

-- написанием разрешений на самих секретных док-тах (в виде резолюций или других разрешающих надписей);

-- указанием в распорядительных док-тах (приказах, указаниях, поручениях) фамилий лиц и конкретных док-тов, к которым они должны быть допущены.

Действие оформленных разрешений на право доступа к док-там и сведениям в виде списков и карточек-разрешений, должно пересматриваться:

-- к док-там с грифом "особой важности" - ежегодно;

-- к "совершенно секретным" и "секретным" док-там - не реже, чем через два года.

Порядок доступа к секретной информации лиц, командированных другими организациями, определен Инструкцией N 0126. Доступ командированных лиц к секретным док-там предприятия производится после предъявления ими док-тов, удостоверяющих личность, справки о допуске и предписании на выполнение задания. Командированные лица могут иметь доступ только к тем док-там, которые указаны в предписании и необходимы для выполнения задания. Разрешение на доступ дает руководитель предприятия. Разрешение оформляется в виде резолюции.

На каждое командированное лицо начальник заинтересованного подразделения оформляет карточку-разрешение, в которой указывает наименование и номера док-тов, с которыми должно быть ознакомлено это командированное лицо. Доступ к док-там осуществляется только в присутствии лиц, отвечающих за сохранность и использование данных док-тов, командированное лицо выполняет необходимые записи только в учтенных спецблокнотах или рабочих тетрадях, которые впоследствии пересылаются по месту работы командированного лица.

Разрешение на доступ к конф сведениям представителей других фирм или предприятий оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные док-ты или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу в помещении фирмы.

4.5. Организация внутриобъектового и пропускного режимов.

Виды охраняемых объектов. Виды, назначение и задачи охраны объектов, состав функций охраны. Построение системы охраны объекта, многорубежная охрана. Регламентация деятельности, обязанностей и ответственности персонала охраны. Взаимодействие персонала с техническими средствами сигнализирования, информирования и идентификации.

Понятие, задачи и структура внутриобъектового режима. Назначение и задачи пропускного режима.

Порядок организации доступа персонала в помещения различных категорий. Функционирование контрольно-пропускных пунктов. Виды пропусков и идентификаторов, их учет и порядок выдачи. Классификация посетителей. Правила работы с посетителями различных классификационных групп. Методы контроля за посетителями. Требования к помещениям для приема посетителей. Организация внутриобъектового и пропускного режимов.

Под охраной понимается комплекс организационных и технических мер, направленных на ограничение доступа и защиту территорий, помещений информации, средств и предметов производства и продукции.

Объектами охраны являются территория, здания, отдельные помещения, персонал, информационные ресурсы, материальные ценности

Основная цель охраны - обеспечение безопасности охраняемых объектов путем предупреждения и ликвидации различного рода угроз.

Функциями охраны являются:

-- обеспечение санкционированного прохода-выхода, ввоза-вывоза, вноса-выноса на территорию здания, в отдельные помещения;

-- контроль за проходом-выходом, ввозом-вывозом, вносом-выносом на предприятии;

-- обеспечение мер во внерабочее время по возможной эвакуации док-тов, изделий и т.д.

Задачи охраны можно подразделить на несколько групп. Есть две группы основных задач:

1. Аналитические и предупредительные:

-- сбор и анализ информации о внешних угрозах безопасности охраняемых объектов;

-- сбор и анализ информации о функционировании системы охраны (внутренние угрозы);

-- разработка мер по предупреждению действия угроз, их ликвидации.

2. Процедурно-отражательные, включающие конкретные действия по ликвидации реальных угроз.

Виды охраны:

-- охрана с помощью технических средств;

-- охрана путем выставления постов;

-- комбинированная охрана.

Специфическими видами охраны являются: охрана физических лиц; охрана материальных ценностей при их транспортировке; охрана финансовых ценностей при их транспортировке (инкассация)

В организационном плане задачи охраны могут решаться силами отдела охраны службы безопасности организации, частными охранными агентствами (по договору с организацией), органами внутренних дел, вневедомственной охраной, а также в различном сочетании.

Построение системы охраны объекта, многорубежная охрана. Регламентация деятельности, обязанностей и ответственности персонала охраны. Взаимодействие персонала с техническими средствами сигнализирования, информирования и идентификации.

В основе разработки системы охраны и организации ее функционирования лежит принцип создания последовательных рубежей (барьеров) безопасности. В зависимости от объекта защиты применяются различные рубежи охраны: территория режимных объектов ограждается по периметру, защищается техническими средствами; для прохода на территорию организуются специальные проходные. При необходимости дополнительных мер охраны могут быть оборудованы контрольные полосы и дополнительно установлены технические средства. Проход осуществляется по пропускам. Отдельные здания на территории, где ведутся работы с секретными док-тами и изделиями и где они хранятся, оборудуются техническими средствами охраны (двери, окна на первом этаже, помещения, где ведутся работы, при необходимости - проходы к ним). На особо режимных предприятиях дополнительно могут создаваться временные производственные зоны.

Регламентация деятельности охраны осуществляется совокупностью законодательных и нормативных актов, нормативно-методических док-тов. К числу основных относятся:

-- Закон РФ "О частной детективной и охранной деятельности в РФ";

-- нормативные акты муниципальных органов власти и управления, МВД и др.;

-- разрабатываемые в организации Положения об охранных подразделениях; инструкции, регламентирующие те или иные аспекты деятельности охраны, должностные инструкции.

В нормативно-методических док-тах организации определяются функции охраны, обязанности и ответственность персонала охраны, его взаимодействие с техническими средствами охраны (сигнализации, информирования, идентификации), а также порядок сдачи под охрану и снятия с охраны объектов и режимных помещений.

В организациях с закрытыми работами устанавливается пропускной и внутриобъектовый режим.

Пропускной режим - совокупность правил, регламентирующих порядок входа, выхода лиц, въезда, выезда транспорта; внос, вынос; также пропускной режим включает в себя мероприятия по реализации этих правил. Предназначен для того, чтобы: 1).исключить проникновение посторонних лиц на охраняемою территорию и внутрь объекта. 2).Исключить посещение режимных помещений без служебной необходимости работниками предприятия и командированными лицами. 3). Исключить внос, ввоз на территорию личных визуальных средств наблюдения, кино- фото- аппаратуру. 4).Исключить вынос, вывоз секретных док-тов и изделий без соответствующего разрешения. 5).Исключить хищение док-тов и изделий

Пропускной режим предполагает:

-Организацию КПП и отдельных постов на входах, выходах на режимные территории, здания, помещения.

-Создание бюро пропусков, на которые возлагаются функции ведения системы постоянных, временных, разовых, материальных пропусков.

-Применение специальных шифров и вкладышей, дающих право прохода на режимные объекты.

-Определение перечня предметов запрещенных к проносу, провозу.

-Охрана режимных территорий; контроль прохода на территорию командированных лиц.

Организация пропускного режима. Устанавливает следующие виды персональных док-тов, дающих право вноса \ выноса док., прохода: удостоверение, пропуск (временный (с фото, действует до 3х мес.; без фото до 1 мес.) , постоянный (3 до 5 лет), разовый, материальный)

Порядок организации доступа персонала в помещения различных категорий. Перед началом эксплуатации режимные помещения обследуются комиссией, назначаемой руководителем предприятия (фирмы), в которую включаются технические специалисты и аттестуются согласно перечню особо режимных, режимных и нережимных помещений (в инструкции N0126 есть форма 66). По завершении работы комиссия представляет в службу безопасности или режимно-секретный орган акт обследования о пригодности данного помещения для конкретного вида секретных работ.

По окончании рабочего дня все спецхранилища, сейфы и режимные помещения запираются и опечатываются. При этом сейфы, металлические шкафы и входные двери режимных помещений, где они находятся, опечатываются разными печатями. Режимные помещения и хранилища, опечатанные пеналы с ключами сдаются под охрану дежурному по учреждению с указанием времени приема-сдачи с отметками о включении охранной сигнализации в журнале по форме 82 Инструкции N0126. Опечатанные хранилища и режимные помещения могут быть вскрыты только лицами, ответственными за сохранность секретных док-тов и изделий. Списки таких лиц с образцами их подписей утверждаются заместителем руководителя учреждения по режиму либо начальником режимно-секретного органа или службы безопасности, и эти списки находятся у охраны или у дежурного по учреждению.

При отсутствии лиц, ответственных за сохранность секретных док-тов и изделий режимные помещения или хранилища могут быть вскрыты комиссией, созданной по указанию руководителя учреждения или данного подразделения, о чем составляется акт.

Понятие, задачи и структура внутриобъектового режима. Назначение и задачи пропускного режима.

Пропускной режим предусматривает:

-- организацию контрольно-пропускных пунктов и постов с пропускными функциями на входах (выходах) на режимные территории, в режимные здания, сооружения и помещения; создание бюро пропусков;

-- введение системы постоянных, временных и разовых пропусков, а также материальных пропусков;

-- применение специальных шифров и вкладышей, дающих право прохода на определенные режимные территории, в режимные здания, сооружения и помещения;

-- определение должностных лиц, имеющих право давать разрешение на выдачу соответствующего вида пропуска, вкладыша, на постановку шифров;

-- определение перечня предметов, запрещенных к проносу (провозу) на режимную территорию;

-- охрану режимных территорий, зданий, помещений, хранилищ секретных док-тов и изделий;

-- пропуск командированных лиц на режимную территорию, в помещения, где ведутся секретные работы, с письменного разрешения заместителя руководителя учреждения по режиму или начальника режимно-секретного органа или службы безопасности при наличии предписания на выполнение задания и соответствующей справки о допуске (для гос. предприятий). Для негос. предприятий пропуск командированных лиц на территорию производится с письменного разрешения руководителя или начальника службы безопасности.

Внутриобъектовый режим - совокупность организационно-технических мероприятий и правил, направленных на обеспечение режима секретности и сохранение государственных секретов в учреждениях (на предприятиях).

Внутриобъектовый режим предусматривает:

- соблюдение установленного порядка подбора, изучения и оформления лиц для работы в учреждениях;

- ограничение круга лиц, допускаемых к секретным или конф работам, док-там и изделиям,

- определение круга должностных лиц учреждения, имеющих право разрешать ознакомление с той или иной категорией док-тов и сведений, доведение до исполнителей только такого объема секретных сведений, который им необходим для выполнения служебных заданий;

- выделение соответствующих помещений для проведения секретных (конфиденциальных) работ и осуществление контроля за допуском посетителей в эти помещения, исключение возможности бесконтрольного доступа в них;

- проведение мероприятий по предотвращению утечки секретной информации в процессе проведения совещаний, конференций, выставок, а также при посещении объектов посетителями, в том числе иностранцами;

- осуществление контроля за применением технических средств, используемых для передачи, приема, обработки и размножения секретной или КИ, а также за подготовкой предназначенных для проведения секретных мероприятий помещений, чтобы они удовлетворяли требованиям режима секретности.

Автоматизированные системы обеспечения контрольно-пропускного режима можно разделить на два вида: атрибутные и биометрические. В системах первого вида контроля осуществляется проверка наличия у пользователя легального атрибута, пароля или идентификационной карты. В биометрических системах сверяется подлинность путем измерения и сопоставления с контрольным эталоном какого-либо биопараметра.

Атрибутные идентификационные карточки делятся на: магнитные; инфракрасные; карточки ВИГАНД; штриховые, радиопередающие.

Пропуска могут быть постоянные, временные (до 3 месяцев), разовые для посетителей, а также материальные - для ввоза-вывоза материальных ценностей. На удостоверениях и пропусках проставляются печати, цифры и знаки, определяющие зоны доступа, период их действия, право проноса портфелей, кейсов, папок. Учет бланков удостоверений и пропусков осущ. бюро пропусков.

Полная замена удостоверений и пропусков производится, как правило, через 3-5 лет. Через 2-3 года производится перерегистрация с проставлением соответствующей отметки.

4.6. Организационные требования к режимным помещениям.

Требования, предъявляемые к помещениям, в которых ведутся работы с конфи док-тами, работами, изделиями. Порядок назначения комиссии для аттестации помещений на пригодность для ведения работ. Док-тальное оформление после обследования помещений на пригодность. Назначение ответственных лиц, имеющих право вскрывать и опечатывать режимные помещения. Оборудование специальных хранилищ, сейфов и металлических шкафов, предназначенных для хранения секретных изделий и док-тов.

Порядок приема-сдачи под охрану режимные помещения.

Организационные требования к режимным помещениям.

Помещение является режимным, если оно отвечает режимным требованиям и обеспечивает сохранность проведения работ.

К режимным помещениям относятся: Помещения РСО, СБ; Закр. архивы; Закр. библиотеки; Типографии; Лаб., бюро; Помещения, где соср. техника.

К хранилищам относятся: Сейфы, Металлические шкафы, Спец. хранилища, склады

Размещение режимных помещений и их оборудование должно соответствовать режимным нормам:

Помещение, в котором проводятся испытания или эксперименты с закрытым оборудованием, и используется техника, которая имеет излучение, то необходимо использовать инженерно-техническую защиту. Перед началом эксплуатации помещение должна обследовать комиссия, в которую входят технические специалисты, сотрудники СБ или РСО. Далее комиссия передает акт о пригодности эксплуатации помещения в СБ или РСО. Размещение режимных помещений и их оборудование должно соответствовать нормам ГОСТа, и исключать возможность бесконтрольного проникновения и гарантировать сохранность док-тов и изделий. Если в организации есть свои специалисты, то назначается внутренняя комиссия, если нет, то приглашается со стороны.

Организация хранения конфиденциальных док-тов предполагает, что помещения подразделения конф делопроизводства, должны соответствовать требованиям технической безопасности, противопожарной безопасности, а также установленным санитарным нормам. Для обеспечения физической сохранности конфиденциальных док-тов, дел и носителей, а также для предотвращения разглашения содержащейся в них информации в организации (на предприятии) должен быть установлен спец режим их хранения и обращения. В целях обеспечения дополнительных гарантий от проникновения посторонних лиц эти помещения (по возможности) должны размещаться не на первом и последнем этажах зданий, а их окна -- выходить на внутреннюю территорию объекта. Право прохода в такие помещения имеют руководитель организации (предприятия) и сотрудники, имеющие прямое отношение к обработке и хранению конфиденциальных док-тов. Лица, обеспечивающие техническое и бытовое обслуживание (уборку, ремонт оборудования и технических средств), допускаются в эти помещения только в присутствии сотрудников подразделения конф делопроизводства.

Окна помещений должны иметь надежные средства защиты, исключающие возможность проникновения посторонних лиц. Кроме того, на окнах должны быть защитная сетка или жалюзи, предотвращающие возможность выпадения док-тов при открытых окнах, а также визуального просмотра док-тов и экранов видеомониторов компьютеров с улицы. Если помещения расположены на первом или последнем этаже здания или рядом с ними находятся пожарные лестницы, балконы, водосточные трубы, какие-либо пристройки, с которых можно проникнуть в помещения, окна дополнительно защищаются распашной металлической решеткой с замком.

Входные двери помещений должны быть обиты металлическим листом и оборудованы замками, гарантирующими их надежное закрытие. По окончании рабочего дня двери необходимо не только запирать, но и опечатывать номерной металлической печатью подразделения (или сотрудника) конф делопроизводства.

Для опечатывания используются специальные устройства. Печать проставляется на тонкий слой пластилина (спец мастики), закрывающий металлический стержень или толстую нить в специальном углублении устройства таким образом, чтобы оттиск невозможно было не повредить при открывании (или, повредив, восстановить). Перед отпиранием двери проверяется сохранность оттиска печати и целостность самой двери. При обнаружении попыток проникновения в помещение нужно немедленно поставить в известность службу безопасности (охрану) и доложить руководителю организации (предприятия). При этом самостоятельно помещения не вскрываются, они обеспечиваются физической охраной до принятия соответствующего решения.

Входные двери, окна помещений (а в некоторых случаях -- сейфы и шкафы) необходимо оснастить сигнализацией, связанной с дежурным постом службы безопасности (охраны). Целесообразно также оснастить эти помещения датчиками движения.

Для предотвращения несанкционированного входа в помещения в течение рабочего дня на дверях могут устанавливаться кодовые (электромеханические, электронные) замки и электрические звонки. Для выдачи конфиденциальных док-тов исполнителям (пользователям), помещения должны внутри отгораживаться барьером или оборудоваться специ окошками, не выходящими в общий коридор.

Помещения, в которых для фиксации, обработки, хранения, воспроизведения и передачи конфиденциальной док-тной информации используются средства вычислительной техники (ЭВМ), множительные аппараты, средства аудио-, видеозаписывающей и воспроизводящей техники, другие технические средства (в том числе радиоприемники, телевизоры), создающие электромагнитные излучения, необходимо оборудовать дополнительными средствами защиты, предотвращающими перехват таких сигналов.

В этих же целях целесообразно приобретать сертифицир. технические средства обработки информации, отвечающие требованиям по защите информации, а средства иностранного производства предварительно подвергать спец проверкам (в уполномоченных организациях) для выявления в них возможных электронных (программных) средств технической разведки.

Конф док-ты должны храниться в сейфах или металлических шкафах подразделения конф делопроизводства, которые по окончании рабочего дня должны запираться и опечатываться сотрудниками, ответственными за их учет и сохранность. В том случае, когда исполнителям разрешено работать с док-тами на своих рабочих местах, эти док-ты могут храниться в специальных портфелях, имеющих приспособление для опечатывания. По окончании рабочего дня спецпортфели, опечатанные номерной печатью исполнителя, сдаются в подразделение конф делопроизводства (без проверки или списания док-тов) и хранятся там на металлических стеллажах.

Хранение открытых док-тов вместе с конфи допускается только в случаях, когда они являются приложениями к конф док-там.

Исполнители могут работать с конфи док-тами или в специально выделенных помещениях подразделения конф делопроизводства, или в своих служебных комнатах, если эти комнаты отвечают требованиям обеспечения конфиденциальности информации. При работе с док-тами в служебных комнатах каждый исполнитель должен иметь постоянное рабочее место, сейф (металлический шкаф) или отдельную ячейку сейфа для хранения конфиденциальных док-тов и номерную металлическую печать. В этом случае исполнителю может также выдаваться спецпортфель для хранения док-тов. Ключи от сейфа, спецпортфель и номерная печать выдаются исполнителю под роспись в лицевом счете (журнале учета). Номерная печать хранится у исполнителя постоянно и не должна передаваться другим лицам.

Замки дверей помещений, распашных металлических решеток на окнах, сейфов и шкафов должны иметь рабочие (первые) и запасные (вторые) экземпляры ключей. В случае утраты рабочих или запасных экземпляров ключей об этом немедленно ставятся в известность руководители организации (предприятия) и службы безопасности (охраны), а также производится немедленная замена замков. При утрате ключа от сейфа или шкафа до замены замка или смены секрета замка хранить док-ты в этом сейфе (шкафу) запрещено.

Вторые экземпляры ключей хранятся в опечатанных номерной печатью пеналах (конвертах) в подразделении конф делопроизводства или в службе безопасности (на одном из постов охраны). Место хранения и факт передачи запасных ключей на хранение строго регламентируются (с записью в специальном журнале).

Первые экземпляры ключей от сейфов, шкафов, решеток в нерабочее время могут храниться в опечатанном номерной печатью пенале (конверте), либо на одном из постов охраны, либо в сейфе (шкафу) у руководителя подразделения, или в подразделении конф делопроизводства. В случае хранения рабочих ключей в сейфе не на посту охраны, по окончании рабочего дня ключ от этого сейфа вместе с рабочим экземпляром ключа от входной двери помещения передается в опечатанном номерной печатью пенале на пост охраны, с записью в журнал передачи под охрану помещений и пеналов с ключами. Место хранения и факт передачи рабочих ключей от сейфов (шкафов) исполнителей на временное хранение строго регламентируются (с записью в специальном журнале или с обменом на соответствующий жетон).

Для вскрытия помещений без указанных лиц назначается комиссия в составе не менее двух человек, которая составляет акт о вскрытии с указанием в нем должностей и фамилий лиц, вскрывших помещения, номера помещения, времени и причины вскрытия, номеров печатей, которыми ранее были опечатаны и вновь опечатаны помещения.

Все сейфы и шкафы, установленные в помещениях подразделения конф делопроизводства и в служебных комнатах исполнителей, в которых круглосуточно или в рабочее время хранятся конф док-ты, а также ключи от них должны учитываться подразделением конф делопроизводства по журналу учета хранилищ и ключей.

Ежегодно должна проводиться проверка фактического наличия ключей от хранилищ и номерных печатей исполнителей.

Так, выдача конфиденциальных док-тов может производиться только исполнителям (пользователям), имеющим санкционированный доступ к этим док-там, и только под роспись в учетных формах.

Выдача док-тов исполнителям и их возврат осуществляются в течение одного рабочего дня, но если исполнителям разрешено работать с конфи док-тами в своих служебных комнатах, то док-ты (кроме дел) допускается выдавать им на все время, необходимое для работы с ними. В последнем случае, помимо сейфа (с ключами и пеналом), спецпортфеля и номерной печати, исполнителю выдается (под роспись в лицевом счете) журнал (форма) описи док-тов.

Должностные лица, которым разрешено в нерабочее время хранить конф док-ты в личных сейфах, по окончании рабочего дня помещают док-ты в сейф, опечатывают его и сдают помещение под охрану (с соответствующими записями в журнале передачи под охрану помещений и пеналов с ключами).

Подразделение конф делопроизводства обязано осуществлять периодический контроль за порядком хранения док-тов в служебных комнатах исполнителей и обращения с ними.

При смене или временном отсутствии руководителя и сотрудников подразделения конф делопроизводства передача док-тов замещающим их лицам производится по актам или распискам с обязательной проверкой фактического наличия передаваемых док-тов.

Требования к режиму обращения с конфи док-тами должны быть закреплены в "Положении по обеспечению сохранности коммерческой (служебной) тайны организации (предприятия)". Эти требования должны доводиться под роспись до каждого сотрудника, допущенного к работе с конфи док-тами, как перед началом такой работы, так и периодически во время работы (первичный и периодические инструктажи).

4.7. Организационная защита информации в процессе проведения совещаний и переговоров по конф вопросам.

Угрозы безопасности информации, задачи и направления ее защиты в процессе проведения совещаний и переговоров, приеме посетителей. Общие требования к отбору информации для оглашения. Правила подготовки и проведения совещаний и переговоров. Док-тирование информации, оформление протоколов и итоговых док-тов. Порядок осуществления аудио и видео записи. Требования к помещениям и их охране. Организационная защита информации в процессе проведения совещаний и переговоров по конф вопросам.

Организация необходимых мер по защите собственных информационных ресурсов, в процессе реализации которых решаются совокупности задач по следующим направлениям:

- отбор и группировка информации, подлежащей оглашению;

- разработка и реализация правил проведения совещаний и переговоров, приема посетителей;

-организация работы с персоналом, т.е. лицами, которым поручена организация и проведение совещаний и переговоров;

- проведение мероприятий по обеспечению требований, предъявляемых к помещениям, где проводятся совещания и переговоры; их охрана.

Необходимо получить разрешение, которое дает руководитель или его заместитель в зависимости от ценности конфиденциальной информации и состава участников, которых предполагается привлечь на совещание (переговоры). (разрешение посредством докладной записки от руководителя заинтересованного подразделения)

В список сотрудников подразделений, ответственных за подготовку и проведение переговоров, как правило, включаются следующие лица:

организатор совещания (переговоров) -- должностное лицо, ответственное за подготовку и проведение переговоров в целом, как правило, это руководитель заинтересованноќго подразделения; должностное лицо, ответственное за ЗИ при проведении переговоров; за подготовку помещения; сотрудники, ответственные за подготовку материќально-технического обеспечения

Одним из важнейших элементов при подготовке соќвещания (переговоров) является определение состава его участников.

В организацию, с которой предполагается проведеќние переговоров, направляется специальное письмо (приќглашение), в котором содержится:

тематика переговоров, обобщенный список предќполагаемых участников; время и место проведения; предложение принять участие в переговорах или сообщить о своем отказе;

предложение направить список сотрудников, которые будут участвовать в данном мероприятии, с подтверждением их доступа к КИ.

Планирование очередности решаемых вопросов должќно осуществляться в зависимости: от ценности конфиденциальной информации (чем выше ценность информации, тем позднее вопрос ставится на повестку дня);от числа лиц, принимающих участие в обсуждении (чем меньше участников задействовано в обсуждении вопроса, тем позднее он ставится на повестку дня).

К участию в обсуждении вопроса привлекаются тольќко те лица, которые имеют непосредственное отношение к этому вопросу.

Перед проведением совещания (переговоров) необќходимо:

проверить помещение на наличие в нем несанкциоќнированных аудио- и видеозаписывающих или радио-передающих устройств; убедиться в качественной работе средств техничеќской защиты информации (если они применяются); осуществить другие меры по подготовке помещения (включить кондиционер, установить пост охраны у дверей и т.д.). Убедиться в наличии и безопасности (прежде всего с точки зрения защиты информации) материально-технического обеспечения.

Проход участников совещания (переговоров) в выдеќленное помещение осуществляется при ведении за ними обязательного персонального контроля.

Перед началом обсуждения каждого нового вопроќса состав присутствующих корректируется

Участникам совещания (переговоров) при необходиќмости выдаются заранее подготовленные носители конќфиденциальной информации для рабочих записей (блокќноты, тетради и др.), при этом не допускается использоќвание разрозненных листов. Все записи должны вестись только на данных носителях.

По окончании перегоќворов помещение осматривается сотрудником СБ.

Специально назначенный сотрудник ведет протокол, который утверждается руководителем организации и имеет соответствующий гриф конфиденќциальности.

Сравнительно большое количество участников, присутствие посторонних лиц, необходимость предания огласке секретной или конфиденциальной информации, сложность контроля за поведением участников и т.п., создают условия повышенной уязвимости информации. Следовательно, ставятся задачи по след. направлениям: отбор и группировка информации, подлежащей оглашению; разработка и реализация правил проведения совещаний и переговоров, приема посетителей; организация работы с персоналом, т.е. лицами, которым поручена организация и проведение совещаний и переговоров, ответственными за прием посетителей; проведение мероприятий по обеспечению требований, предъявляемых к помещениям, где проводятся совещания и переговоры; их охрана.

Служебные совещания, на которых рассматриваются вопросы с грифом ограничения, проводятся с разрешения руководителя предприятия или его заместителей, которые в свою очередь назначают работников (из числа штатных), ответственных за проведение таких совещаний.

Если организация государственная (орган исполнительной власти), то решение о проведении таких совещаний могут принимать руководители соответствующих структурных подразделений. (в соответствии с разрешительной системой доступа)

Работник, ответственный за проведение совещания, совместно с должностными лицами от службы безопасности или РСО осуществляют необходимые организационные и технические мероприятия, обеспечивающие ЗИ при проведении совещания.

Обсуждение закрытых вопросов без приглашения представителей других ведомств может проводиться руководителями структурных подразделений без согласования со службой безопасности или РСО. Ответственный за обеспечение режима и за состав участников в этом случае несет руководитель, который санкционировал внутреннее совещание.

На такие совещания приглашаются работники, имеющие непосредственное отношение к обсуждаемым вопросам, более того, участие которых вызвано служебной необходимостью. Если это связано с гос. тайной, то участники должны иметь форму допуска по соответствующей форме.

Если совещание с внешними представителями, то эти лица должны предъявить в службу безопасности или РСО все необходимые док-ты.

При планировании проведения совещания предусматривается такая очередность рассмотрения вопросов, при которой исключается участие в их обсуждении работников, не имеющих непосредственного отношения к ним.

Работник, ответственный за проведение совещания заранее предоставляет в РСО или службы безопасности проект плана проведения совещания и список участников с указание ФИО, должности и места работы, форму допуска (если гос. тайна), круг вопросов, допуск к которым необходимо предоставить (по каждому вопросу формируется отдельный список приглашенных). Список приглашенных должен быть согласован с представителем службы безопасности или РСО, после чего должен быть утвержден руководителем, давшим разрешение на проведение совещания.

Участники совещания допускаются в такие совещания по спискам при предъявлении док-та, удостоверяющего личность. Участникам для прохода выдаются специальные пропуска или вкладыши к пропускам.

Проносить на совещания технические средства запрещается. Личные вещи помещаются в хранилище (ячейки, например).

Носители сведений, составляющие сведения, содержащие закрытую информацию и необходимые для совещания, могут в дальнейшей рассылаться приглашенным по списку, утвержденным руководителем, давшим разрешение на проведение совещания. При этом рассылаются только те носители (или части носителей), которые необходимы каждому приглашенному лицу. Контроль за своевременным возвратом этих носителей возлагается на работника, ответственного за проведение совещания.

Совещания проводятся в помещениях, аттестованных в соответствии с требованиями по противодействую иностранных техническим разведкам и технической ЗИ (ГОСТ). В целях предотвращения возможного разглашения сведений об обсуждаемых вопросах работник, ответственный за проведение совещаний, перед его началом обязан проинформировать присутствующих о степени ограничения обсуждаемых вопросов и предупредить участников о возможности делать записи только на учтенных носителях, которые должны быть выданы до начала проведения совещаний работниками РСО или службы безопасности.

При длительных перерывах в совещаниях (обеденном, например) все носители должны быть сданы в РСО или службу безопасности. Если в процессе совещания планируется демонстрация носителей и при этом используется какая-либо техника, то в этом случае такая техника должны быть заказана заранее и обслуживание этой техники осуществляется уполномоченным, ответственным лицом. Техника должна быть сертифицирована.

Весь ход проведения совещания обязательно протоколируются и в дальнейшем протокол решения в необходимых случаях рассылаются с утверждения руководителя списку приглашенных лиц. Если док-ты подлежат возврату, то строго к конкретной дате.

Если выдавались рабочие тетради или отдельные листы, то по согласованию с этими лицами эти записи могут быть либо отправлены в организации, откуда они прибыли либо уничтожены.

Программа проведения совещания, список с участниками, регистрационный лист и вся док-тация, которая возникла, приобщаются к материалам совещания. Если совещания не разовые, то заводится отдельное дело, куда подшиваться будут все док-ты касающейся данной темы. Если совещания на предприятии разовые, то они подшиваются в одно дело.

Для проведения совещаний и телефонных переговоров должен быть выработан ряд требований и мер по обеспечению защиты:

-- Если на совещании циркулируют сведения, отнесенные к ГТ, то все участники должны иметь допуск по соответствующей форме;

-- Работником, ответственным за проведение совещания, в РСО или СБ должен быть предоставлен список участников совещания, а так же список приглашенных по каждому вопросу;

-- Допуск на совещание производится по предъявлении док-та, удостоверяющего личность, после чего будет выдан спец пропуск;

-- При планировании проведения совещаний необходимо предусмотреть такую очередность рассматриваемых тем, при которой исключается участие в их обсуждении работников, не имеющих отношения к ним;

-- На совещание запрещается проносить технические средства, которые должны сдаваться в хранилище на время проведения совещания;

-- при необходимости ведения записи, должны использоваться сертифицир. средства;

-- рабочие тетради и другие носители, выдаваемые участникам совещания должны учитываться в журнале учета, а после - уничтожены или отправлены в организацию, откуда прибыли участники;

-- Вся док-тация, которая возникла по окончанию совещания приобщаются к материалам совещания и заводится дело, куда могут быть подшиты материалы другого совещания по этой же тематике.

Таким образом будет обеспечена безопасность при проведении совещания, а так же контроль за всеми носителями информации.

Участие в международных научных мероприятиях и переговорах

Необходимо:

-- Осуществить предварительную экспертизу и объем передаваемой информации;

-- Если возможно, то исключить или обезличить информацию.

-- Исключить информацию, которая дает возможность определить полученный на производстве результат;

-- Исключить возможность получения закрытых сведений путем обобщения отдельных разрозненных данных;

-- Исключить материал, который содержит искаженные факты и преждевременные сообщения о чем-то;

-- Исключить присутствие на переговорах лиц, которые не имеют отношения к рассматриваемым вопросам;

-- Подготовить док-т "Соглашение о предварительном сотрудничестве".

Такой док-т должен содержать разделы о конфиденциальности, о защите интеллектуальной собственности.

Главным образом, задачей является предоставление лишь нужной информации при переговорах, без какого-либо необоснованного распространения информации, пусть, даже, и в узком кругу лиц.

4.8. Организационная защита информации в процессе издательской, рекламной и выставочной деятельности.

Угрозы безопасности информации, задачи и направления ее защиты в процессе издательской, рекламной и выставочной деятельности. Общие требования к отбору информации для оглашения. Порядок оформления разрешения на подготовку материалов к открытому опубликованию. Применяемые методы защиты информации.

Порядок работы со средствами массовой информации. Виды рекламной деятельности, порядок отражения информации в рекламных изданиях.

Особенности и виды выставочной деятельности. Оформление разрешения на демонстрацию изделий, особенности защиты информации.

Разработка и проведение мероприятий по обеспечению режима осуществляется руководителями подразделений, с участием СБ/РСО с привлечением технических специалистов.

Всем изделиям и их составным частям присваиваются условные наименования: шифры, условные обозначения -- индекс. Реальные названия изделий разрешается указывать только в закрытых док-тах и только в случае крайней необходимости.

Круг лиц, который имеет право работать с этими изделиями (знакомиться с док-тацией), определяется руководителем производственного подразделения по согласованию с СБ/РСО.

Уполномоченные лица обязаны нести повседневный контроль за соблюдением режима, а также, проводить периодические проверки в самих подразделениях. Порядок проверок следующий:

-- закрывается актами

-- для изделий с СС, С, КТ проверки производятся не реже одного раза в квартал;

-- для изделий с ОВ, КТ проверки проводятся один раз в месяц

Общая проверка проводится ежегодно комиссией, которая назначается руководителем предприятия; должна быть разработана "инструкция по проверке наличия док-тов и изделий", где прописаны все технологии и нюансы по предприятию. В случае С, СВ, ОВ -- есть инструкции об обеспечении режима.

Учет изделий и снятие их с учета

Должны иметь регистрационный номер, как в период разработки, изготовления, хранения, испытания, транспортировки, так и во время эксплуатации.

Если идет учет изделий в опытном производстве, то учет осуществляется с начала их изготовления (+чертежи) или со стадии изготовления. Особенности указываются в чертежах конструктором.

Если серийное производство, то с момента, указанного в технологических или сопроводительных картах, если они отсутствуют, то в обязательном случае это указано на чертежах.

Изделия, полученные из других предприятий учитываются с момента их поступления, так же, как и их док-тация.

Закрытые изделия учитываются отдельно от открытых, по чертежам, по мимо этого, если серийное производство, то будет заводской или инвентарный номер.

Изделия, на которые невозможно проставить учетные номера, которые учитываются количественно, по весу или изделия, которые поступают в таре и пр., то учетные номера проставляется на маркировках упаковок.

Нумерация изделий осуществляется предприятием-изготовителем, но не допускается, чтобы это было подряд (исключение возможности вычисления общего количества изделий).

Учет таких изделий осуществляется в учетных формах, которые устанавливаются организацией приказом, если связано с ГТ -- по инструкции. Названия учетных форм: журнал учета изделий (выделить по грифу..), срок хранения журнала не менее 5 лет, все журнальные формы находятся в СБ/РСО; не желательно в учетных формах указывать закрытые наименования изделий.

Передача с одного подразделения на другое проводится через СБ/РСО. Должны быть назначены уполномоченные лица, которые должны регулярно сообщать данные по движению изделий/док-тации для учета их в журнальных формах (формы N9, N10).

Изделия могут быть выданы исполнителям на рабочие места. В форме 9 составляется акт, заполняется учетная карточка N11.

На тех предприятиях, где идет массовое производство, где не возможно выдать исполнителю под расписку изделие, то все операции производятся уполномоченным лицом, для этого существует лицевой счет (форма N14) (фиксируется факт передачи изделия исполнителю и он работает какое-то время).

Если передача из подразделения в подразделение, так же происходит через уполномоченное лицо, основанием передачи служит док-т "производственное задание" или "производственный план", сам факт передачи зафиксирован в докладной (форма N13). Уполномоченное лицо должно поставить в известность СБ/РСО, что произошло движение.

При монтировании в закрытое изделие (или в открытое монтирование закрытого) должен быть составлен акт (форма N17), утверждается руководителем подразделения, а если это происходит в процессе испытания, то такой акт утверждает технический руководитель или главный конструктор.

Поскольку эти узлы/детали имеют учетные номера, то все они заносятся в формуляр на изделия.

Факт изъятия или замены комплектующих оформляется актом (форма N18), который служит основанием для взятия изделия на учет или для взятия изделия на уничтожение.

На все изготовленные изделия (или партию) составляются формуляры или паспорта на изделия. Если записанные в паспорт данные имеются закрытые сведения, то ему присваивается гриф ограничения, ему присваивается номер по инвентарному учету технической док-тации (форма N37). Этот номер будет проставлен в журнале N9 или карточке N10.

В формах запрещается делать исправления.

Хранение изделий

Изделия хранятся в помещениях, которые должны отвечать всем режимным требованиям. Закрытые хранятся отдельно от открытых. Доступ неработающих лиц в помещения могут осуществляться в следующем порядке (разовые разрешения):

-- если это цех или заводские склады, то они могут пройти по списку, который может быть утвержден руководителем цеха/склада, по согласованию с СБ/РСО

-- если это склад продукции наивысшего грифа ограничения, то это должны быть персональные разрешения и разрешения руководителя предприятия (такие помещения изолированы от основной территории предприятия, имеют наивысшие средства защиты и пр.)

Режим при получении и отправке изделия

Те лица, которые получают изделия, должны иметь доверенность, если это изделия, связанные с ГТ, то она должна быть заверена гербовой печатью и завизирована начальником СБ/РСО.

Прием и сдача изделий производится по накладной (форма N20). Помимо этого может быть составлен приемно-сдаточный акт (принял-сдал, сумма).

Реестр спецсвязи, где будет проверена целостность упаковки, количество и номера пломб (с описанием оттисков указывается в сопроводительном док-те).

В случае обнаружения признаков вскрытия пломбы, те лица, которые осуществляют прием изделия, должны составить акт и этот факт будет сообщен отправителю, а если это изделие, связанное с ГТ -- сообщено в ФСБ... произведено служебное расследование.

Отправка изделий производится с письменного разрешения руководителя предприятия/заместителя (форма накладной N20). одновременно выписывается экспедиционного поручение на доставку изделия (форма N41), по которому заказывается транспортное средство и охрана.

Разрешением для вывоза/выноса изделия за пределы охраняемой территории будет служить спец пропуск, который будет подписан руководителем структурного подразделения, где изделие находилось, будет подписано руководителем СБ/РСО. Такой пропуск подписывается на основании накладной и экспедиционного поручения.

Вся док-тация, которая идет к изделиям (если имеет гриф ограничения), то ее переписка осуществляется закрытой почтой и, как правило, это происходит одновременно с доставкой изделия.

Режим при транспортировке

Транспортировка производится под контролем СБ/РСО некими ответственными лицами структур, которые назначаются руководителем предприятия; если это изделие составляет ГТ -- должны иметь допуск по соответствующей форме; если посредники -- фельдъегерская служба, спецсвязи и пр.

Подлежащие перевозке изделия должны быть упакованы таким образом, чтобы исключалась возможность определения характера этих изделий, если перевозятся еще и открытые изделия, то важно, чтобы упаковка была одинаковая.

Охрана перевозимых изделий должна быть обеспечена таким образом, чтобы не привлекать внимания, но должна быть вооружена.

Режим при испытании изделий

Испытания проводятся в специально выделенных для этих целей местах (помещения, территории...). Разрешения выдают как руководители предприятия, СБ/РСО, так и ФСБ.

Конкретные меры по обеспечению режима в ходе испытаний, а так же требований по оценке эффективности этих мер, включаются в программу испытаний.

На израсходованные в процессе испытаний составляется акт, основание для списания. Если по остаткам испытанных изделий, которые не пригодны для эксплуатации, можно определить характер или назначение изделия, то проводится сбор и уничтожение.

Результаты этого поиска и уничтожения фиксируются в акте (произвольная форма), который подписывается всеми участниками поисковой группы (или той, которая проводила осмотр местности).

Если это испытания изделий, относящихся к ГТ, то, как правило, испытания проводятся под контролем государственной приемочной комиссии, которая должна оценить эффективность мероприятий по обеспечению режима (+характеристика изделия).

Уничтожению подлежат:

-- отбракованные в процессе производства/испытания/эксплуатации

-- надобность в которых отпала

Производится специально-организуемой комиссией, участвует работник СБ/РСО, оформляется актом формы N21. Такой док-т утверждается руководителем предприятия, в отдельных случаях -- дается дополнительное разрешение руководителя производственного подразделения.

Демонтаж, разборка, разрушение или деформирование должны быть произведены по рекомендации, которая зафиксирована разработчиком в техническом паспорте или формуляре на изделие.

Уничтожение должно быть произведено таким образом, чтобы невозможно было восстановить истинные характеристики, параметры или назначение изделия.

Акт подписывается еще раз лицами, которые увидели, каким образом уничтожение производилось.

Док-тация к изделию должна быть уничтожена, так же отражено в акте уничтожения изделия (акт такой-то уничтожен из-за акта такого-то).

Об изъятии из уничтоженных изделий комплектующих, которые пригодны для дальнейшего использования, производится отметка в акте об уничтожении. Составные части берутся на другой вид учета, могут быть вмонтированы в новые изделия.

Эти акты (формы N21) хранятся в заведенных делах не менее 5 лет, под такие акты заведено отдельное дело, гриф ограничения акта определяется от той информации, которая была занесена в акт от изделия.

4.9. Организационная защита конфиденциальной продукции в процессе ее изготовления, хранения и транспортировки.

Разработка и проведение мероприятий по обеспечению режима конфиденциальности. Учет продукции. Основания для снятия ее с учета. Особенности и порядок хранения. Основные требования при получении и транспортировке продукции. Док-тирование хода и результатов уничтожения продукции. Организационная защита конфиденциальной продукции в процессе ее изготовления, хранения и транспортировки.

Проведение мероприятий по обеспечению режима осуществляется руководителями структурных подразделений с участием сотрудников СБ или РСО, с привлечением специалистов из числа научных сотрудников, инженерно-технических работников предприятия.

Закрытые изделия и их составные части, кроме действующих наименований, в целях зашифровки их назначения заказчиками или разработчиками присваивается условное наименование (шифры, условные обозначения, индексы). Они не должны раскрывать наличия, технические и иные особенности этого изделия. Действительное наименование разрешается указывать в док-тах с грифом ограничения, вызванное действительной необходимостью.

Изделия должны состоять на учете в период разработки, хранения и транспортировки, а также в момент эксплуатации, изготовления и испытания. Все закрытые изделия учитываются отдельно от открытых, по чертежным обозначениям, заводским, инвентарным номерам на изделии или бирке. На некоторых изделиях невозможно проставить номер, тогда они учитываются поштучно или по весу, могут храниться в опечатанных, опломбированных тарах, тогда учитывается номер на упаковке. Учет изделий осуществляется в журнале (РСО, СБ). Срок хранения не менее 5 лет. Указывается условное наименование (шифры, индексы).

Передача изделия на другой участок производится через РСО, СБ, также может проводится через уполномоченное ответственное лицо за режим (в этом случае в РСО сообщаются данные о движении изделия, отмечается в журнале учета секретных, конфиденциальных изделий, карточке). Если в открытое изделие вмонтированы секретные блоки, то в таком случае создается акт о вмонтировании N17 (1экз.), утверждается начальником подразделения. В том случае, если изделие проходит испытания, то утверждается техническим руководителем или главным конструктором. На все изготовленные изделия оформляется паспорт или формуляр, в том случае, если есть секретные сведения, то ставится гриф ограничения, паспорт изделия регистрируется в журнале инвентарного учета технических док-тов.

Основания для снятия с учета: Расписка получателя в накладной, печать организации, которая забирает изделие; Реестр спец. связи с распиской, печатью; Акт о производственном уничтожении изделия; Акт об израсходовании закрытого изделия при испытании, экспертной работе и т.д; Акт о вмонтировании комплектных изделий; Акт о рассекречивании.

Хранение изделий: В помещениях, хранилищах, которые отвечают режимным требованиям. Изделия хранятся отдельно от открытых. Доступ ограничен. Доступ туда по спискам утвержденным руководством или по письменному разрешению начальства. Режим при получении и отправке изделия: Представители получателя должны иметь доверенность в установленном порядке. Также должен быть приемно-сдаточный акт, реестр спец. связи. Далее осуществляется проверка целостности упаковки, пломб, количество пломб, их номера, описывающие их оттиски, учитываются в сопроводительных док-тах. Отправка изделия осуществляется: С письменного разрешения руководителя предприятия; Экспедиционного поручительства на доставку изделия; Разрешения для выноса (вывоза) за пределы предприятия.

Режим при транспортировке: Осуществляется под контролем РСО, СБ. Руководителем предприятия назначаются ответственные лица (должны иметь допуск) или курьеры с оружием.

Требования: Упаковка, маскировка; Не привлекающая к себе охрана.

Режим при испытании изделия: Производится в специально выделенных местах, также должна обеспечиваться охрана и маскировка. Если происходит израсходование изделия или его частей, то составляется акт для списания с учета. Сбор остатков после испытаний, чтобы не могли снять с их помощью инфу.

Уничтожение изделий: Составляется комиссия - Составляется акт N21 на уничтожение изделия - производится демонтаж по технологии, которая указана в техническом паспорте изделия. Факт уничтожения в акте по уничтожению, подписывается. Паспорт изделия и вся сопутствующая док-тация также уничтожается по акту.

4.10. Организация внутреннего (служебного) расследования по фактам нарушения режима конфиденциальности.

Цели и задачи внутреннего расследования. Основания для проведения внутреннего расследования. Процедура проведения расследования. Состав комиссии (комиссий). Права и обязанности членов комиссии по проведению расследования. Док-тирование хода и результатов внутреннего расследования. Обеспечение прав работника, в отношении которого проводится расследование. Меры, принимаемые по результатам расследования. Взаимодействие с правоохранительными органами. Организация внутреннего (служебного) расследования по фактам нарушения режима конфиденциальности.

Служебное (внутреннее) расследование - это действия администрации предприятия, направленные на выяснение обстоятельств разглашения сведений, составляющих государственную или КТ, либо утраты док-тов или изделий, содержащих сведения, составляющие ГТ или КТ, определение степени их ограничения, розыск утраченных док-тов или изделий, выявление виновных в этом лиц, а также установление причин и последствий совершенного правонарушения.

Цели: - поиск утраченного док-та (носителя, изделия); анализ ситуации для принятия мер по предотвращению повторения выявќленного нарушения; - создание доказательной базы для привлечения виновных лиц к установленной законодательством ответственности.

Факт выявления нарушения режима коммерческой (служебной) тайны должен быть зафиксирован докуменќтально -- в виде служебной записки, заявления, рапорта, акта и т. п. На основании этого док-та назначается служебное расследование.

Задачи: установление обстоятельств нарушения, в том чисќле времени, места и способа его совершения; обследование мест возможного нахождения утраќченного конф док-та; установление лиц, непосредственно виновных в данном нарушении;выявление причин и условий, способствовавших нарушению.

Для проведения внутреннего расследования руковоќдитель организаци приказом или распоќряжением назначает комиссию в составе не менее трех человек. включать представителя СБ , представителя подразделения, в котором зафиксировано нарушение, юриста (сотрудника кадрового подразделения).

Если имеется вышестоящая организация, то о факте выявленного нарушения и назначении внутреннего расќследования информируется.

В общем виде права и обязанности комиссии включаќют в себя: 1)опрос работников; 2)проведение осмотров территории, здания, помещений (комнат, кабинетов), хранилищ; 3)проверку всех конфиденциальных док-тов; 4)привлечение) других работников к проведению отдельќных;.

Работник, в отношении которого проводится расслеќдование, должен быть ознакомлен с приказом о проведении расследования.

По окончании внутреннего расследования комиссия представляет руководителю организации (предприятия) заключение, в котором излагаются: основания и время проведения расследования; проделанная работа (кратко); время, место и обстоятельства факта нарушения; причины и условия совершения нарушения; виновные лица и степень их вины; наличие умысла в действиях виновных лиц; предложения по возмещению ущерба; предлагаемые меры наказания или дальнейшие действия; рекомендации по исключению подобных нарушений; предложения по прекращению поиска конфиден-циального док-та (носителя, изделия) и списанию его с учетных форм; другие вопросы, поставленные перед комиссией об актуальности конф.информации, размерах ущерба и т.д.

В случае нахождения во время расследования утерянќного док-та в заключении комисќсии отражаются причины его временного отсутствия.

Заключение должно быть подписано всеми членами комиссии, подлежит утверждению должностным лицом, назначившим это расќследование. К заключению прилагаются:

-- письменные объяснения лиц, которых опрашивали члены комиссии;

-- акты (справки) проверок конфиденциальных док-тов (носителей, изделий), осмотров помещений, хранилищ и т. д.;

-- другие док-ты (копии док-тов), относящиеся к расследованию, в том числе заключения экспертной комиссии и комиссии по определению размеров ущерба (убытков).

Работник, в отношении которого проведено расследоќвание, должен быть ознакомлен с его результатами, что удоќстоверяется его подписью на утвержденном заключении. Решение о привлечении к ответственности работниќка принимается только после завершения расследования и оформляется приказом.

При наличии в действиях лица признаков административного правонарушения или уголовного преступления руководитель организации (предприятия) обязан обращаться в правоохранительные органы для привлечения виновного к ответственности в соответствии с законодательством.

Первый экземпляр, заключения, с резолюцией утвердившего его руководителя, копия приказа (выписка) по результатам расследования, все материалы внутреннего расследования, включая док-т (копию), послуживший поводом для назначения расследования, и копию приказа (распоряжения) о назначении комиссии (комиссий), подлежат хранению в отдельном деле. При необходимости заключение и материалы расследования могут иметь гриф конфиденциальности. В этом случае они учитываются по журналу учета изданных док-тов и хранятся в подразделении конф делопроизводства.

Один экземпляр заключения направляется в вышестоящую организацию (если она есть).

На основании утвержденного заключения комиссии (приказа) сотрудники конф производства осуществляют списание утраченного док-та (носителя, изделия) с учета: в соответствующих учетных формах ставятся отметки о списании (со ссылкой на номер и дату утвержденного заключения или приказа). При необходимости составляется акт о списании.

Учет утрат конфиденциальных док-тов (носителей, изделий) или фактов разглашения информации, составляющей коммерческую (служебную) тайну, ведется в специальном журнале учета. Анализ материалов расследования позволяет разработать конкретные меры по предотвращению нарушений режима охраняемой законом тайны.

В соответствии с Трудовым кодексом возмещение ущерба производится независимо от привлечения работника к дисциплинарной, административной или уголовной ответственности за действия или бездействие, которыми причинен ущерб работодателю. При несогласии работника с результатами подсчета ущерба взыскание должно производиться по решению суда. В этом случае заключение по результатам внутреннего расследования становится письменным обоснованием причастности работника к действиям, повлекшим нарушение режима конфиденциальности.

Все действия членов комиссии и полученные в ходе расследования материалы подлежат письменному оформлению (актами, справками и т. п.).

Истребование от работника объяснения в письменной форме для установления причины нарушения является обязательным. В случае, когда работник отказывается дать письменные объяснения, его устные показания или отказ от них письменно фиксируются членами комиссии (не менее чем за двумя подписями).

В целях исключения возможности какого-либо воздействия на процесс расследования члены комиссии обязаны соблюдать конфиденциальность расследования до принятия по ним решения руководителем организации (предприятия).

Для организованного и оперативного проведения внутреннего расследования комиссия разрабатывает версии причин нарушения (например, о возможном местонахождении пропавшего док-та) и составляет план про ведения необходимых мероприятий (поиска) по каждой из этих версий. После того, как возможные меры поиска док-та (носителя, изделия) исчерпаны, но не привели к его обнаружению, полностью выяснены обстоятельства утраты и установлены виновные лица, поиск док-та может быть прекращен. Решение о прекращении поиска утверждается должностным лицом, назначившим внутреннее расследование (по мотивированному заключению комиссии). Одновременно с комиссией по проведению внутреннего расследования руководитель организации (предприятия) может поручить экспертной комиссии организации (предприятия) определить актуальность утраченной (разглашенной) конфиденциальной информации, а также назначить комиссию по определению (подсчету) ущерба (убытков) по расследуемому факту, из компетентных и незаинтересованных должностных лиц. Указанные задачи могут возлагаться на одну комиссию (с назначением в ее состав соответствующих специалистов). Сумма ущерба либо убытков и методика ее расчета должны быть обоснованы и утверждены. В отдельных случаях такая оценка может быть осуществлена специализированной организацией. Актуальность конфиденциальных сведений, поступивших из другой организации (предприятия), и размер ущерба от их разглашения (утраты) определяются этой организацией. Заключения экспертной комиссии и комиссии по определению ущерба (убытков) должны быть подготовлены до окончания проведения внутреннего расследования. Это необходимо для того, чтобы принять исчерпывающие меры по локализации последствий данного нарушения и объективно определить меру ответственности виновных лиц.

4.11. Особенности учета носителей информации и проектов конфиденциальных док-тов.

Угрозы информации в процессе составления и изготовления док-тов, задачи ее защиты. Виды учитываемых бумажных и технических носителей для составления док-тов. Назначение и задачи учета носителей. Состав основных процедур и особенности учета носителей конфиденциальной информации.

Назначение и задачи учета изготавливаемых проектов конфиденциальных док-тов. Связь с другими видами учета. Состав основных процедур. Особенности изготовления и учета конфиденциальных док-тов. Состав учетных операций при издании док-тов.

Назначение и особенности учета конфиденциальных док-тов, проектов док-тов и носителей конфиденциальной информации.

Учет конфиденциальных док-тов является одной из важнейших составных частей конф делопроизводства. Важнейшая цель записи учетных данных состоит в обеспечении сохранности конфиденциальных док-тов и предотвращении таким образом утечки содержащейся в док-тах информации.

Угрозы в процессе учета:

• выпадение док-та из учетной системы за счет ошибочных или злоумышленных действий персонала,

• включение сведений из док-тов в учетные формы,

• утечка информации по техническим каналам,

• нарушение персоналом порядка выполнения учетных операций и ведения справочно-информационного банка данных.

Виды учета: учет пакетов, содержащих конфиденциальных док-ты (пакетный учет); учет входящих (поступивших, входных) док-тов, учет носителей информации (док-тов предварительного учета); учет изданных (подготовленных исходящих и внутренних) док-тов, учет док-тов выделенного хранения; учет журналов, картотек и законченных производством дел.

В регистрационных формах необходимо фиксировать не только данные о самом док-те, но и любое движение и местонахождение док-та, что позволяет обеспечивать персональную ответственность за его сохранность и качественно проводить проверки наличия док-тов с целью своевременного обнаружения их возможных утрат. Учет конфиденциальных док-тов осуществляется подразделением конф делопроизводства. Учету подлежат все без исключения изготовленные на предприятии и полученные им конф док-ты. Учет конфиденциальных док-тов подразделяется на 3 вида:

изданных док-тов 2. поступивших док-тов 3.док-тов выделенного хранения

Независимо от вида учета конф док-ты можно учитывать в журналах или карточках. Журналы или картотеки учета изданных и поступивших док-тов ведутся погодно; не исполненные в текущем году док-ты подлежат переводу на учет следующего года. Журнал выделенного хранения ведется непрерывно, номера каждого года продолжают номера предыдущих лет.

Журналы и картотеки в совокупности образуют традиционный справочно-информационный банк данных по док-там. Банк предназначен для накопления, систематизированного хранения и своевременного корректирования исходной учетной информации о док-тах, ответа на поисковые и справочные запросы пользователей банка, наблюдения и координирования работы с док-тами, контроля исполнения док-тов. Однако главной задачей банка данных по док-там является обеспечение наблюдения, контроля за сохранностью док-тов.

Учет изданных док-тов охватывает все машинописные и рукописные док-ты, машинограммы, которые прошли регистрацию по журналу учета черновиков и проектов док-тов, независимо от того, остаются ли они на предприятии или отправляются на другие предприятия и подшиваются ли они в дела или переводятся на инвентарный учет док-тов.

Учет поступивших конф. Док-в. Рассказать про пакеты и как после учитывается ?. После вскрытия пакета и проверки правильности вложений поступившему док-ту присваивается очередной номер, проставляемый в журнале учета поступивших пакетов. Одновременно данные о док-те заносятся в журнал или карточку учета поступивших конфиденциальных док-тов,

Выделенное хранение. При значительном объеме док-тов выделенного хранения чертежно-графические и текстовые док-ты могут учитываться раздельно, но в однотипных формах учета. В этом случае слова "чертежно-графические" или "текстовые" должны включаться в наименование журнала.

Секретная инфа фиксируется (док-тируется) только на носителях информации, прошедших предварительный учет в РСО. Записывать сведения или данные об этих сведениях на неучтенных носителях категорически запрещается. Назначение учета носителей состоит в том, чтобы обеспечить безопасность информации не только в подлиннике, но и во всех черновиках, вариантах, редакциях док-та и отдельных рабочих записях, подготовительных материалах.

Носителями информации могут быть: для текстовых док-тов; для чертежно-графических док; для машиночитаемых док; для аудио и визуальных док; для фото док;

Задачи учета носителей информации (док-тов предварительного учета):

закрепление факта присвоения носителю определенной категории,

включение сведений о носителе в справочно-информационную и поисковую систему для обеспечения проверки наличия носителя и местонахождению носителей,

док-тирование фактов перемещения носителей, фиксирование местонахождения;

контроль за работой исполнителей при составлении ими док-тов,

контроль за своевременным уничтожение носителей и их отдельных частей;

Все типы носителей закрытой информации должны быть учтены до начала составления в них проектов (черновиков, вариантов, беловиков) док-тов или производства каких-либо записей. Учет осуществляется на участке предварительного учета док-тов первого отдела РСО. Они выдаются исполнителям под роспись в распечатке (машинограмме) перечня (журнале) инвентарного учета и вносятся в опись конфиденциальных док-тов, находящихся у исполнителя. При передаче подготовленного конф док-та в службу док-тации исполнитель отчитывается за израсходованные учтенные носители и сдает их вместе с док-том.

Оформление и регистрация носителей включает следующие процедуры: первичного оформления носителя; регистрации носителя; окончательного оформления носителя;

Учет изготавливаемых проектов конфиденциальных док-тов.

Целью этапа изготовления конфиденциальных док-тов является создание окончательного, оформленного варианта оригинала док-та, предназначенного стать подлинником после его издания.

Изготовление док-та: - печатание текста док-та и реквизитов бланка с черновика; сравнение его с черновиком, исправление ошибок,

- перепечатывание отдельных листов или док-та в целом при необходимости.

Процесс изготовления конфиденциальных док-тов включает следующие процедуры:

- приема черновика док-та от исполнителя; регистрации черновика, печатания док-та и выдачи черновика и проекта док-та исполнителю; перепечатывания отдельных листов и док-та в целом; взятия на машинописный учет бланков док-та, отдельных листов, подлежащих заполнению рукописным способом; снятия копии с док-та, выписки из док-та; ежедневной проверки наличия док-тов в машинописном бюро

4.12. Назначение и особенности учета конфиденциальных док-тов.

Цели, задачи и виды учета конфиденциальных док-тов, его место в технологической системе обработки и хранения док-тов. Угрозы док-там в процессе учета, способы защиты информации. Назначение справочно-информационного банка данных по док-там. Традиционный и автоматизированный учет. Назначение учета поступивших конфиденциальных док-тов. Процедура учета пакетов. Состав основных процедур учета поступивших док-тов. Назначение и особенности учета изданных конфиденциальных док-тов. Связь с другими видами учета. Состав основных процедур. Назначение учета конфиденциальных док-тов выделенного хранения. Связь с другими видами учета. Состав основных процедур. Назначение и особенности учета конфиденциальных док-тов, проектов док-тов и носителей конфиденциальной информации.

Угрозы в процессе учета:

• выпадение док-та из учетной системы за счет ошибочных или злоумышленных действий персонала,

• включение сведений из док-тов в учетные формы,

• утечка информации по техническим каналам,

Журналы и картотеки в совокупности образуют традиционный справочно-информационный банк данных по док-там. Банк предназначен для накопления, систематизированного хранения и своевременного корректирования исходной учетной информации о док-тах, ответа на поисковые и справочные запросы пользователей банка, наблюдения и координирования работы с док-тами, контроля исполнения док-тов. Однако главной задачей банка данных по док-там является контроль за сохранностью док-тов.

Учет поступивших конф. Док-в. После вскрытия пакета и проверки правильности вложений поступившему док-ту присваивается очередной номер, проставляемый в журнале учета поступивших пакетов. Одновременно данные о док-те заносятся в журнал или карточку учета поступивших конфиденциальных док-тов,

Назначение учета носителей состоит в том, чтобы обеспечить безопасность информации не только в подлиннике, но и во всех черновиках, вариантах, редакциях док-та и отдельных рабочих записях, подготовительных материалах. Носителями информации могут быть :

-- для текстовых док-тов - спецблокнот, рабочая и стенографическая тетрадь, отдельные листы бумаги, типовые формы и бланка док-тов,

-- для чертежно-графических док-тов - листы ватмана, кальки, пленки, координатной бумаги и др.,

-- для машиночитаемых док-тов - магнитная лента, диск, дискета, CD-ROM и др.,

-- для аудио и визуальных док-тов - магнитная лента, диск, кинопленка и др.,

-- для фото док-тов - фотопленка, микрофотопленка, фотобумага.

Задачи учета носителей информации (док-тов предварительного учета):

-- закрепление факта присвоения носителю категории секретности

-- включение сведений о носителе в справочно-информационную и поисковую систему для обеспечения проверки наличия носителя и выполнения справочных процедур по составу и местонахождению носителей,

-- док-тирование фактов перемещения носителей, фиксирование местонахождения носителя и его частей (листов),

-- контроль за работой исполнителей при составлении ими док-тов,

-- контроль за своевременным уничтожение носителей и их отдельных частей, потерявших практическую значимость.

При составлении конфиденциальных док-тов на неучтенных носителях черновики и редакции док-та передаются для уничтожения или руководителю подразделения при подписании (визировании) док-та, или в службу конфиденциальной док-тации после подписания док-та и передаче его на регистрацию. Оформление и регистрация листов бумаги, кальки, пленки для составления технической док-тации выполняется в бюро (отделе) закрытой технической док-тации. Обязательному предварительному учету и маркировке подлежат технические носители информации, для которых угрозы всегда представляют значительно большую опасность, чем для бумажных. Носители конфиденциальной информации, как правило, спец учета не имеют и сразу ставятся на инвентарный учет.

В процессе оформления и регистрации носителей закрытой информации решаются следующие задачи защиты информации от возможных угроз :

-- предупреждение возможности не целевого использования носителя или его неправильного хранения,

-- предупреждение возможности тайной подмены носителя, изъятия из него отдельных частей (листов, кусков фото, кино или магнитной пленки),

-- предупреждение возможности тайной разборки кассет, футляров и иных оболочек технических носителей информации,

-- обеспечение контроля сохранности и порядка использования носителя за счет включения его в учетную, поисковую и справочную систему фиксированного местонахождения.

Целью процедуры первичного оформления носителя является специальная подготовка обычного носителя информации к фиксированию в нем закрытой для широкого доступа информации и обеспечению сохранности носителя и записей, которые в нем будут сделаны. Процедура для бумажных носителей: нумерацию листов, прошивку и опечатывание носителя, внесение заверительной надписи, проставление штампов и грифа ограничения.

Оформление технических носителей включает:

-- перемотку кино, фото, магнитной пленки с заводской бобины на рабочие кассеты, установление точной длины намотанной пленки и отсутствия склеек, обрывов и иных механических повреждений,

-- проверку чистоты магнитных носителей,

-- проверку надежности упаковки магнитных носителей в заводские кассеты (футляры), установление длины ленточных носителей.

Целью процедуры регистрации носителя является фиксирование факта включения носителя в категорию носителей ограниченного доступа и присвоения ему учетного номера, обеспечивающего поиск носителя и сведений о нем на всех стадиях работы и проверки его наличия.

Носители текстовой информации регистрируются в журнале учета рабочих (стенографический) тетрадей (ф.7). Бумажные носители технической док-тации регистрируются на карточках предварительного учета технических док-тов (ф.35). Карточки учитываются в журнале регистрации и учета движения карточек. Технические носители информации в большинстве случаев берутся на инвентарный учет.

Учетные формы ведутся в пределах года или нескольких лет в зависимости от количества и продолжительности хранения носителей. По окончании непрерывного учета заводится новый учет. Все несписанные носители получают новые номера.

Целью процедуры окончательного оформления носителя является фиксирование учетных данных на самом носителе и его отдельных частях для их идентификации и определения принадлежности. Особенности окончательного оформления технических носителей:

-- проставление регистрационного номера на обоих концах ленты, заключенной в рабочую кассету, надежное закрытие кассеты,

-- нанесение на кассету, футляр, рабочую бобину и т.п. маркировки: инвентарного номера, номера подразделения, фамилии исполнителя,

-- окрашивание или опечатывание винтов, выступов, скрепляющих кассеты, футляры для предотвращения возможности их тайного вскрытия.

Особенности учета носителей конфиденциальной информации.

Предварительный учет:

При составлении черновиков и оригиналов конфиденциальных док-тов наблюдаются два подхода к вопросу предварительного учета носителей конфиденциальной док-тированной информации :

а) особо ценные док-ты составляются на учтенных носителях, другие док-ты (массового характера) - на неучтенных носителях (может использоваться в маленьких фирмах),

б) все конф док-ты составляются только на учтенных носителях (на листах бумаги, бланках, в спецблокнотах, рабочих тетрадях и т.п.), (используется в крупных фирмах).

Особенности изготовления конфиденциальных док-тов.

Целью этапа изготовления конфиденциальных док-тов является создание окончательного, оформленного оригинала док-та, предназначенного стать подлинником после издания.

Составление конф док-тов состоит из:

- приема черновика док-та от исполнителя; регистрации черновика, печатания док-та и выдачи черновика и проекта док-та исполнителю; перепечатывания отдельных листов и док-та в целом; взятия на машинописный учет бланков док-та, отдельных листов, подлежащих заполнению рукописным способом; снятия копии с док-та, выписки из док-та; передачи карточки ф.46 на исходящий участок (участок исходящих док-тов), ежедневной проверки наличия док-тов в машинописном бюро

Печатание конфиденциальных док-тов производится в службе конфиденциальной док-тации (машинописном бюро РСО или спецчасти). Печатание док-тов могут осуществлять сами исполнители непосредственно на рабочем месте при условии исключения разглашения или утечки конфиденциальной информации. Особо ценные конф док-ты изготовляются только специально выделенным для этой работы лицом и в соответствующем образом защищенном помещении.

Как правило, на принтере ЭВМ изготовляется всегда только один экземпляр док-та. После его окончательного согласования с него снимается в службе конфиденциальной док-тации нужное количество копий, указанное на обороте док-та.

Черновики конфиденциальных док-тов регистрируются :или в журнале учета док-тов, отпечатанных в машбюро или журнале учета черновиков и проектов док-тов, или журнале учета карточек и карточке учета подготовленных (изданных) док-тов.

Сопроводительные письма и приложения к ним печатаются за разными регистрационными номерами. По окончании печатания комплекта экземпляров каждого листа на нижнем поле ставится машинописный учетный номер с грифом док-та, например: мб 25кт. В нижнем левом углу лицевой или оборотной стороны последнего листа всех экземпляров ставится учетный машинописный номер док-та с грифом, количество отпечатанных экземпляров, их целевое использование (при необходимости), фамилия исполнителя (при необходимости - его телефон), инициалы машинистки и дата печатания. При изготовлении док-тов не должна использоваться новая красящая лента и копировальная бумага, не должны подкладываться под валик печатающего устройства дополнительные листы бумаги. Док-ты не должны диктоваться, не должны использоваться диктофоны. Окна должны быть зашторены.

При полном перепечатывании док-та он регистрируется за новым учетным номером.

Снятие копий с док-тов и производство выписок выполняется в машбюро при наличии на последнем листе док-та разрешения соответствующего руководителя и начальника РСО. Копии и выписки учитываются за новыми машинописными номерами. Дополнительно размноженные экземпляры док-та учитываются за номером этого док-та. Нумерация дополнительно размноженных экземпляров продолжается от последнего номера ранее учтенных экземпляров этого док-та.

Состав учетных операций при издании док-та.

Этап издания док-тов выполняется исполнителем док-та. Исполнитель лично осуществляет передачу док-тов должностным лицам. При подписании док-та или его утверждении передачу может осуществлять руководитель подразделения, в котором работает исполнитель.

Угрозы док-там в процессе работы с ними персонала предприятия :

-- утеря, хищение или копирование черновика, оригинала док-та,

-- утрата информации за счет ее док-тирования на случайном носителе,

-- подготовка к изданию док-та, не обоснованного деловой необходимостью или не разрешенного для издания,

-- включение в док-т избыточных конфиденциальных сведений,

-- несанкционированное изготовление док-та в условиях, не гарантирующих сохранность носителя и информации,

-- утечка информации по акустическому, визуальному и другим техническим каналам.

-- утрата док-та или его части (приложения, листов и иных элементов),

-- несанкционированное копирование док-та различными способами,

-- подмена док-та или его частей с целью их хищения или сокрытия утраты,

-- создание условий для утраты носителя и разглашения информации,

-- нарушение разрешительной системы доступа к секретной информации, несанкционированное ознакомление с секретным док-том,

-- утечка информации по визуальному или акустическому каналам,

-- ошибочные действия сотрудников службы секретного делопроизводства, выпадение док-та из сферы контроля,

-- разглашение персоналом факта наличия док-та или его содержания в

открытых публикациях, служебных и личных переговорах.

В процессе изготовления конфиденциальных док-тов решаются следующие задачи защиты информации от возможных угроз:

-- предотвращение несанкционированного изготовления док-та самим исполнителем,

-- обеспечение контроля за сохранностью носителей информации в результате установления информационной связи различных форм учета : учета носителя, учета черновика и изготовленного проекта док-та и учета подготовленного (изданного) док-та,

-- обеспечение тайны информации за счет изготовления док-тов в специально оборудованном помещении и исключения доступа кого-либо к черновикам и док-том, перекрытия технических каналов утечки информации,

-- док-тирование фактов перемещения док-та между исполнителем и сотрудниками машинописного бюро, обеспечение проверок наличия и комплектности док-тов за счет нанесения на док-т учетных и иных отметок.

Под исполнителями секретных док-тов понимаются все лица, находящиеся вне службы секретного делопроизводства, которые в любой форме причастны к секретному док-ту - готовят его, знакомятся с ним, визируют и подписывают. Посторонним лицом является любое лицо, не имеющее права доступа к данному конкретному док-ту, даже рядом работающий сотрудник или руководитель.

При распределении секретных док-тов по руководителям и исполнителям получает практическую реализацию разрешительная система доступа к док-там.В основе группировки док-тов по руководителям лежит Перечень док-тов, подлежащих рассмотрению руководством предприятия.Руководителям в пределах их полномочий разрешается знакомить исполнителей только с теми док-тами и частями этих док-тов, которые требуются для выполнения ими служебных обязанностей. Руководители предприятия и структурных подразделений несут персональную ответственность за правомерность выдаваемых ими разрешений на доступ к секретным док-там. Разрешение на работу или ознакомление исполнителя с секретным док-том дается руководителем только в письменной форме : в должностных или именных списках, схемах доступа, приказах, распоряжениях, в резолюциях на док-тах, в карточках разрешений (и выдачи), в списке ознакомления и т.п. В случае, если исполнитель допускается только к части док-та, в разрешении должно быть четко указаны конкретные пункты, разделы, части и страницы, к которым допускается исполнитель. Сотрудники входящего участка обязаны принять необходимые меры, исключающие возможность ознакомления исполнителя с другими частями док-та. Док-ты, не включенные в перечень, передаются для работы соответствующим исполнителям на основе установленной схемы доступа исполнителей к секретным док-там без дополнительного решения руководителя.

Рассмотрение док-та руководителем имеет целью принятия решения по вопросу, затронутому в док-те, и определения состава исполнителей, которые должны оформить или реализовать это решение. Рассмотрение док-тов включает в себя следующие процедуры :

-- передачи док-тов на рассмотрение руководителю,

-- рассмотрения док-та руководителем,

-- приема док-тов от руководителя, Управленческое решение отражается в резолюции руководителя

-- адресования док-тов, не передаваемых на рассмотрение руководителя.

Задачи ЗИ при рассмотрении док-тов руководителем от возможных угроз:

-- принятие правильного решения по составу исполнителей, допускаемых к док-ту,

-- исключение возможности ознакомления с док-том постороннего лица в процессе работы руководителя с док-тами,

-- исключение возможности кражи или копирования док-тов посетителями, секретарями и иными лицами,

-- док-тирования факта передачи док-та руководителю и возвращения док-та от руководителя,

-- обеспечение физической сохранности док-та, приложений и листов.

В процессе передачи док-тов исполнителям реализуется решение руководителя предприятия или РСО по составу лиц, допускаемых к док-ту, и выполняются следующие процедуры:

-- выдачи док-та исполнителю, получения док-та от исполнителя.

Задачи защиты информации, решаемые в процессе выполнения указанных процедур и работы исполнителя с док-том :

-- обеспечение физической сохранности док-та, приложений и листов, док-тирование факта передачи док-та исполнителю и возвращения док-та, ознакомление исполнителя только с той частью док-та, которая ему адресована, предотвращение возможности ознакомления постороннего лица с док-том при передаче его исполнителю, работе с ним и возвращении док-та в РСО, обеспечение учета док-тов, находящихся у исполнителя, и сохранности этих док-тов в рабочее и нерабочее время, перекрытие визуального, акустического и иных технических каналов утечки информации при работе исполнителя с док-том, обеспечение контроля за сохранностью и использованием док-тов, соблюдением исполнителями правил работы с секретными док-тами со стороны руководителя подразделения и РСО.

Исполнение:процесс док-тирования управленческих решений и действий, результатов выполнения поставленных перед руководителями и исполнителями заданий и отдельных поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. В отличии от исполнения процесс использования док-та или ознакомления с док-том предполагает включение его в информационную систему, обеспечивающую исполнение других док-тов, выполнение управленческих действий и принятие решений.

Исполнители знакомятся с док-тами в помещении РСО. Для работы в подразделениях док-ты выдаются лично исполнителям или уполномоченным РСО в этих подразделениях. Док-т выдается исполнителю или уполномоченному под роспись в первом экземпляре карточки ф.49. После этого карточка помещается : первый экземпляр - в картотеку "За исполнителями", второй экземпляр - в валовую картотеку. При ведении одного экземпляра карточки в контрольном журнале делается запись о местонахождении док-та. При любом ознакомлении с секретным док-том допущенное к нему лицо обязательно расписывается на самом док-те с указанием даты. При любой передаче док-та обязательно указывается количество листов в нем, т. к. док-т может быть получен исполнителем не полностью. При приеме док-та от исполнителя внимательно проверяется комплектность док-та и сохранность всех его частей, их физическая целостность. Листы просчитываются путем их перелистывания (перекладывания) с целью одновременного выявления возможной подмены листов или их порчи (отрыва части листа, уменьшение его формата и т.п.). За возврат док-та сотрудник входящего участка расписывается в первом экземпляре учетной карточке (ф. 49) и в описи док-тов, находящихся у исполнителя (ф. 55). Одновременно во втором экземпляре карточки или в контрольном журнале указывается новое местонахождение док-та.

При выполнении процедуры передачи док-тов на другие участки РСО решаются следующие задачи защиты информации от возможных угроз :

-- предотвращение ошибочного направления док-та на другой участок РСО,

-- док-тирование факта передачи док-та и возвращения учетной карточки с отметкой о выполненной операции,

-- контроль полноты фиксирования информации о всех операциях, выполненных с док-том на другом участке (контроль отработанности карточки),

-- обеспечение физической сохранности док-тов и их частей.

Док-ты передаются на другие участки вместе с первым экземпляром карточки (ф. 49) под роспись во втором экземпляре карточки или в передаточном журнале. Передаточный журнал - вспомогательная учетная форма для док-тирования факта передачи секретных док-тов между участками РСО. По окончании выполнения необходимых действий с док-том на другом участке первый экземпляр карточки возвращается на входящий участок с необходимой оформленной отметкой. После проверки закрытия всех позиций карточки она помещается в отработанную картотеку по возрастанию номеров.

В процессе работы с секретными док-тами исполнитель обязан :

-- выполнять только те секретные работы и знакомиться только с теми секретными док-тами, к которым он получил доступ в силу своих служебных обязанностей,

-- предъявлять по требованию правомочного работника РСО числящиеся за ним секретные док-ты для проверки их наличия и комплектности,

-- вести учет находящихся у него док-тов и носителей информации,

-- ежедневно по окончании рабочего дня проверять наличие секретных док-тов, помещать их в спецчемодан и сдавать на хранение в РСО,

-- немедленно сообщать непосредственному руководителю и в РСО об утрате или недостаче док-тов и их частей, обнаружении лишних или неучтенных док-тов, отдельных листов,

-- сдавать в РСО все числящиеся за ним док-ты при увольнении, перед уходом в отпуск, отъездом в командировку и в других случаях,

-- немедленно сообщать непосредственному руководителю и в РСО о ставших ему известными фактах нарушения другими исполнителями правил работы с док-тами, утрате док-тов, разглашении секретных сведений.

Руководителям любого ранга, исполнителям и другим лицам, работающим с секретными док-тами, делами и базами данных запрещается :

-- использовать секретные сведения в открытой переписке, открытых док-тах, публикациях, докладах и выступлениях,

-- передавать кому-либо устно или письменно секретную информацию, док-ты, если это не санкционировано соответствующим руководителем и не обосновано служебной необходимостью,

-- вести переговоры, содержащие секретные сведения и обсуждать содержание секретных док-тов по незащищенным каналам связи, в не предназначенных для этого помещениях, в присутствии посторонних лиц,

-- снимать по служебной необходимости копии с док-тов без письменного разрешения соответствующего руководителя или без соблюдения установленных правил выполнения этой работы,

-- делать выписки из док-тов в служебных целях на неучтенные носители или с этой же целью делать выписки даже на учтенный носитель из док-тов, к которым у него нет права доступа,

-- вносить и пользоваться в режимных помещениях личными фото, видео аппаратурой, компьютерами, аудио техникой, магнитофонами, диктофонами, техническими носителями информации, радиотелефонами и другой подобной техникой,

-- выносить секретные док-ты за пределы охраняемой зоны без разрешения руководства предприятия, пользоваться док-тами в местах широкого доступа (холлах, коридорах, вестибюлях, столовых и т.п.),

-- оставлять секретные док-ты на рабочем столе при выходе из помещения, оставлять включенным компьютер с загруженной секретной информацией памятью,

-- хранить секретные док-ты вместе с несекретными и док-тами с грифом "Для служебного пользования",

-- выполнять любые несанкционированные действия с секретными док-тами и информацией, нарушать требования законодательных и нормативных док-тов по защите государственных секретов.

Все секретные док-ты и носители информации, полученные исполнителем на срок более одного дня, должны быть внесены исполнителем в учетную внутреннюю опись (перечень) док-тов, находящихся у исполнителя (ф. 55). Опись необходима для ежедневной проверки наличия док-тов исполнителем и своевременного вскрытия недостачи док-тов. Сброшюрованная внутренняя опись учитывается в журнале учета рабочих (стенографических) тетрадей (ф. 7).

Для работы с секретными док-тами исполнитель должен быть обеспечен:

-- постоянным оборудованным рабочим местом, личным сейфом (металлическим шкафом) и спецчемоданом (спецпортфелем, кейсом) для хранения док-тов, номерной личной металлической печатью, экземплярами бланков внутренней описи док-тов, находящихся у исполнителя.

Ключи от сейфа, спецчемодана, номерная печать и бланки описи выдаются исполнителю под роспись в лицевом счете. Ключи и номерная печать постоянно находятся у исполнителя, дубликаты ключей хранятся в установленном порядке в РСО.

На рабочем столе всегда должен находится только тот док-т и материалы к нему, с которыми в данный момент работает исполнитель или руководитель. Другие док-ты должны храниться в спецчемодане, помещенном в запертый сейф. Листы док-та после прочтения или написания переворачиваются текстом вниз. При подходе к рабочему столу другого сотрудника лист секретного док-та, с которым работает исполнитель, должен быть также перевернут текстом вниз. Работа с док-тами особой важности, мобилизационными и шифротелеграммами осуществляется в специальных помещениях РСО. На рабочие места исполнителям эти док-ты не выдаются.

Рабочие комнаты исполнителей должны иметь повышенную прочность дверей и секретность замков, при необходимости иметь решетки на окнах, по окончании рабочего дня должны опечатываться и сдаваться под охрану. Помещения должны быть оборудованы охранной и пожарной сигнализацией, а при необходимости также средствами инженерно-технической защиты информации.

Для хранения секретных док-тов, перемещения их в пределах охраняемой зоны, доставки в РСО и обратно на рабочее место исполнители обеспечиваются рабочими папками, спецпортфелями, или спецчемоданами (кейсами). Они выдаются исполнителю ежедневно в обмен на специальную расписку, жетон, удостоверение или пропуск.

Ежедневно перед сдачей спецчемодана в РСО исполнитель обязан провести проверку наличия и комплектности находящихся в спецчемодане док-тов по описи док-тов, находящихся у исполнителя. После проверки наличия док-ты в папках (обложках) аккуратно укладываются в спецчемодан который запирается на надежный запор и опечатывается личной печатью исполнителя. Оттиск печати должен быть четким, хорошо читаемым. Мастичная печать должна находится в специальном вырезе, что препятствует ее случайному повреждению при переносе спецчемодана и снятию при попытке несанкционированного вскрытия спецчемодана.

Доступ командированных лиц к секретным док-там предприятия производится после предъявления ими док-тов, удостоверяющих личность справки о допуске и предписания на выполнение задания.

Особенности работы исполнителей с конфи док-тами.

Исполнители должны иметь машинограмму перечня находящихся у них конфиденциальных док-тов, дел, бумажных и технических носителей информации. Электронная опись ведется в службе конфиденциальной док-тации. По окончании рабочего дня исполнитель проводит проверку наличия и комплектности конфиденциальных док-тов и сдает их , в том числе все магнитные носители информации, в службу конфиденциальной док-тации. Сдается или каждый док-т в отдельности, или док-ты в комплексе, помещенные в спец запертый и опечатанный кейс. Оставлять док-ты и дела на рабочем месте запрещается.

Исполнителям не разрешается хранить у себя копии подготовленных ими конфиденциальных док-тов. При необходимости сохранения копий в службе док-тации должно быть заведено дополнительное дело. Дела, закрепленные за конкретными исполнителями, должны иметь индивидуальные цветовые отличия для облегчения контроля за использованием дел. Сотрудникам фирмы не разрешается без санкции руководителя подразделения пользоваться делами других с сотрудников.

Конф док-ты, подлежащие хранению в делах исполнителя, при поступлении могут сразу же включаться в дело. Дела формируются в папках-регистраторах. Исходные данные о док-те вносятся во внутреннюю опись дела и одновременно они включаются в автоматизированный банк данных для обеспечения справочной и контрольной работы. Исполнитель работает не с док-том, а с делом. Док-т, включенный в дело, не фиксируется во внутренней описи док-тов, находящихся у исполнителя, т.к. он внесен в опись дела.

Рассмотрение и исполнение электронных конфиденциальных док-тов и электронных аналогов бумажных док-тов допускается только при наличии комплексной системы защиты компьютеров и локальных сетей.

После изготовления бумажного или машиночитаемого конф док-та инфа должна быть стерта со всех магнитных носителей, использовавшихся в составлении док-та. Факт уничтожения информации подтверждается росписями исполнителя и сотрудника службы конфиденциальной док-тации в журнале инвентарного учета носителей или аппаратном журнале компьютера. В службе конфиденциальной док-тации должны храниться регулярно обновляемые копии используемых исполнителями гибких магнитных носителей конфиденциальной информации.

Завершив работу на компьютере сотрудник обязан:

-- перенести конфиденциальную информацию на гибкий носитель информации,

-- стереть конфиденциальную информацию с жесткого диска и записать шумовую информацию,

-- проверить наличие гибких носителей информации по внутренней описи и сдать их в службу конфиденциальной док-тации,

-- блокировать компьютер персональным ключом и выключить электропитание в помещении,

-- запереть и опечатать помещение, сдать его под охрану, включив предварительно систему охранной и пожарной сигнализации.

Ксероксы, обслуживающие работу фирмы должны находится в службе конфиденциальной док-тации фирмы или в кабинете одного из заместителей первого руководителя, отвечающего за безопасность деятельности фирмы.

4.13. Классификация, формирование и хранение дел, содержащих конф док-ты.

Назначение номенклатуры дел, ее место в технологической системе обработки и хранения конфиденциальных док-тов. Содержание процедур составления, ведения и закрытия номенклатуры дел.

Угрозы док-там в процессе их формирования в дела и хранении. Процедура оформления дела при его заведении и формировании. Порядок формирования дел, правила их хранения. Задачи защиты информации, решаемые при формировании дел. Процедура оформления дела при его закрытии. Назначение и задачи учета законченных производством дел, картотек и журналов.

Номенклатура дел - это разработанный по установленной форме систематизированный перечень наименований дел, заводимых предприятием в процессе осуществления своей деятельности, с указанием сроков их хранения. В большинстве случаев разработка номенклатуры дел предприятия осуществляется на основе номенклатур дел структурных подразделений, в том числе бухгалтерской службы.

Составление номенклатур конфиденциальных дел
Для обеспечения быстрого поиска необходимых док-тов, создания условий для их сохранности и удобства использования исполненные конф док-ты, зарегистрированные по журналам учета поступивших и изданных док-тов, должны быть сгруппированы в дела. Дело представляет собой совокупность док-тов, относящихся к одному вопросу или участку деятельности и помещенных в отдельную обложку.

Распределение док-тов по делам производится в течение года по мере исполнения док-тов в соответствии с номенклатурой конфиденциальных дел. Номенклатура конфиденциальных дел - это оформленный в установленном порядке систематизированный перечень наименований дел, заводимых на предприятии, с указанием их номеров, сроков хранения и лиц, которым предоставлено право пользования делами.

Таким образом, номенклатура конфиденциальных дел, определяя наименования (заголовки) дел и выступая тем самым в роли плана распределения исполненных док-тов по делам, одновременно устанавливает номера и сроки хранения дел и является составной частью системы доступа к конф док-там.

Вместе с тем номенклатура является и учетной формой для заведенных конфиденциальных дел. Кроме того, она используется для проверки наличия конфиденциальных дел, может быть использована в качестве схем построения справочной картотеки по док-там и составления описей дел, передаваемых на архивное хранение. Номенклатура дел, содержащих коммерческую тайну, должна составляться отдельно от номенклатуры дел, содержащих служебную тайну.

Номенклатура конфиденциальных дел разрабатывается для предприятия в целом (сводная номенклатура дел). Она составляется на каждый год (в конце текущего года на следующий год) подразделением конф делопроизводства на основе предложений структурных подразделений.

Номенклатура подписывается руководителем подразделения конф делопроизводства, визируется руководителями заинтересованных структурных подразделений, согласовывается с архивом конфиденциальных док-тов предприятия (при его наличии), рассматривается на заседании ПДЭК предприятия и утверждается руководителем предприятия.

Гриф конфиденциальности номенклатур дел должен соответствовать совокупной степени конфиденциальности сведений, содержащихся в заголовках дел. Если эти сведения не являются конфи, то гриф конфиденциальности номенклатуре не присваивается. При наличии грифа номенклатура регистрируется в журнале учета изданных док-тов.

Каждому делу присваивается самостоятельный цифровой индекс, который состоит из номера структурного подразделения (при структурной схеме построения номенклатуры) или номера направления (при производственно-отраслевой схеме) и через тире порядкового номера дела в пределах каждого раздела, например: 0101, 0102, 0201 и т.д. В номенклатуре, не имеющей деления на разделы, вместо индекса дела проставляется его порядковый номер по номенклатуре.

Систематизация конфиденциальных дел в номенклатуре должна производиться с учетом их важности и взаимосвязи, что ускоряет поиск док-тов. Дела с планами и отчетами располагаются в последовательности сроков их хранения: вслед за делами с годовыми планами (отчетами) должны вноситься дела с квартальными, а затем с месячными планами (отчетами).

Дела с перепиской по одному вопросу, различающиеся между собой корреспондентским признаком, располагаются по алфавиту корреспондентов, а дела с док-тами, различающиеся географическим признаком, - по алфавиту населенных пунктов.

Рассмотрим далее содержание основных этапов разработки номенклатуры дел бухгалтерской службы. Для предварительного определения перечня док-тов, образующихся в деятельности бухгалтерской службы предприятия, а также сроков их хранения следует руководствоваться:

- положением о бухгалтерской службе и ее структурных подразделениях;

- соответствующими разделами типовых и примерных перечней док-тов, образующихся в деятельности предприятий, с указанием сроков хранения;

- номенклатурами дел бухгалтерской службы за предшествующие 3 - 5 лет;

- описями дел постоянного и временного (свыше 10 лет) хранения;

- док-тами по планированию деятельности и отчетности о ее результатах.

Сведения из перечисленных (и иных соответствующих) док-тов, необходимые для разработки проекта номенклатуры дел, фиксируются исполнителями в виде выписок, справок и т.п. Накопленные таким образом сведения подлежат систематизации. Итогом систематизации является примерный перечень док-тов бухгалтерской службы, который в дальнейшем уточняется с учетом особенностей док-тирования бухгалтерской деятельности в условиях конкретного предприятия. В процессе изучения указанных особенностей принимаются во внимание:

- содержание деятельности бухгалтерской службы, а также специфика ее док-тирования;

- сведения об объеме, интенсивности и составе док-тооборота;

- сведения об организационной структуре и штатной численности бухгалтерской службы;

- сведения о распределении полномочий по работе с док-тами между должностными лицами бухгалтерской службы.

На основе полученных сведений производится:

- уточнение перечня док-тов;

- их предварительное распределение между делами;

- предварительное определение заголовков дел;

- распределение дел между разделами номенклатуры.

К конф относятся док-ты, имеющие гриф ограничения доступа: "конфиденциально", "коммерческая тайна", "для служебного пользования".

Законодательством РФ предусмотрена ответственность за несанкционированный доступ, разглашение или продажу сведений, имеющих подобные грифы.

Сотрудники, допущенные к конф док-там, должны пройти инструктаж и ознакомиться с инструкцией по работе с конфи док-тами.

Организация делопроизводства, обеспечивающего сохранность и учет конфиденциальных док-тов, предусматривает:

- назначение должностного лица, ответственного за их учет, хранение и использование;

- порядок подготовки и размножения док-тов;

- отдельную регистрацию док-тов;

- формирование дел;

- организацию выдачи и хранения док-тов;

- проверку наличия док-тов;

- архивное хранение и порядок уничтожения.

Отпечатанные и подписанные док-ты передаются для регистрации должностному лицу, ответственному за их учет. Черновики, варианты док-та, файлы уничтожаются с подтверждением факта уничтожения записью на копии док-та.

4.14. Передача док-тов в архив, уничтожение док-тов.

Назначение экспертизы ценности док-тов, задачи экспертной комиссии. Процедура составления описи дел, передаваемых в ведомственный архив. Процедура подготовки док-тов различных категорий к уничтожению. Процедура составления акта на уничтожение. Состав док-тов и носителей, уничтожаемых без акта. Процедура уничтожения док-тов и ее док-тирование.

Экспертиза ценности конфиденциальных док-тов проводится ежегодно или при небольшом объеме док-тов 1 раз в несколько лет, однако подвергать экспертизе целесообразно док-ты, изданные 35 лет назад, когда одновременно с подготовкой док-тов для архивного хранения возможны отбор их для уничтожения, т.к. значительное количество док-тов имеет срок хранения 35 лет, и снятие грифа конфиденциальности с существенной части док-тов.

Экспертизой ценности должны быть охвачены все конф дела и док-ты выделенного хранения за соответствующий период времени, поскольку док-ты выделенного хранения являются составной частью док-тального фонда предприятия. К проведению экспертизы ценности конкретного дела (док-та выделенного хранения) привлекаются члены ПДЭК, имеющие доступ к этому делу (док-ту).

Экспертиза ценности док-тов дела проводится путем изучения содержания каждого подшитого в дело док-та и установления его соответствия сроку хранения и номерам статей перечня, указанным на обложке дела.

Одновременно проверяется правильность формирования дела: соответствие видов и содержания док-тов заголовку дела, отсутствие в делах постоянного срока хранения док-тов временного срока хранения. Экспертиза ценности док-та выделенного хранения проводится путем изучения его содержания и определения срока хранения. Одновременно устанавливается возможность снятия грифа конфиденциальности с док-тов выделенного хранения, отдельных док-тов дела или с дела в целом.

По завершении экспертизы всех дел и док-тов выделенного хранения результаты работы всех экспертов рассматриваются на заседании ПДЭК и фиксируются в протоколе с отражением:

- какие дела и док-ты выделенного хранения (с уточненными заголовками, грифами конфиденциальности, сроками хранения и номерами статей по перечню) подлежат передаче на архивное хранение;

- какие док-ты из каких дел и в какие дела необходимо перешить;

- какие дела, док-ты из дел и док-ты выделенного хранения подлежат уничтожению;

- с каких дел, док-тов выделенного хранения или отдельных док-тов, подшитых в дела, должен быть снят гриф конфиденциальности с указанием в последнем случае, подлежит ли док-т, с которого снимается гриф конфиденциальности, изъятию из дела или должен оставаться в нем.

Протокол заседания подписывается председателем и всеми членами ПДЭК и утверждается руководителем предприятия.

После утверждения описи дел и док-тов постоянного срока хранения составляется акт о выделении дел и док-тов за соответствующий период к уничтожению. В акт включаются отобранные ПДЭК для уничтожения дела, отдельные док-ты из дел и док-ты выделенного хранения. Гриф конфиденциальности акта должен соответствовать совокупной степени конфиденциальности сведений, содержащихся в заголовках дел и док-тов. Если эти сведения не являются конфи, то гриф акту не присваивается. При наличии грифа акт регистрируется в журнале учета изданных док-тов.

Часть док-тов выделенного хранения (лишние экземпляры, справочно-информационные, присланные для сведения, отмененные), журналы (картотеки) учета конфиденциальных носителей, изданных док-тов, поступивших пакетов и док-тов могут включаться в данный акт или уничтожаться без рассмотрения ПДЭК по мере истечения сроков хранения по акту аналогичной формы (с исключением данных, относящихся к делам) без ссылки на протокол ПДЭК и без подписи ее председателя.

Каждое дело, каждый док-т и учетный журнал (картотека) вносятся в акт отдельной позицией и должны соответствовать данным о них, зафиксированным в протоколе ПДЭК и учетных формах.

Перед уничтожением включенных в акт дел, док-тов и учетных журналов (картотек) проверяется соответствие данных акта записям в протоколе ПДЭК, номенклатуре дел, журнале учета док-тов выделенного хранения, на обложках и в заверительных листах дел и док-тов выделенного хранения, в описях док-тов дела (по док-там, изъятым из дела). Листы и учетные карточки просчитываются, сложенные док-ты разворачиваются. Соответствие данных заверяется в акте подписями проверявших.

Уничтожение дел, док-тов и учетных журналов (картотек) должно производиться путем сжигания или с помощью бумагорезательной машины. При уничтожении док-тов вне территории предприятия доставка их к месту уничтожения производится на служебном транспорте и принимаются меры, исключающие доступ к док-там посторонних лиц.

После уничтожения производятся отметки об уничтожении дел и учетных журналов (картотек) в номенклатуре дел. Отметки об уничтожении отдельных док-тов из дел проставляются в описях док-тов дел. Вместо уничтоженных док-тов в дела помещаются справки-заместители.

Составление акта о выделении к уничтожению дел и док-тов и проставление в учетных формах отметок об их уничтожении осуществляются сотрудником подразделения конф делопроизводства. В проверке правильности включения в акт дел и док-тов и в их физическом уничтожении, кроме этого сотрудника, должен участвовать второй сотрудник.

4.15. Порядок работы с конфи док-тами.

Угрозы док-там в процессе работы с ними сотрудников предприятия, задачи защиты док-тов. Реализация разрешительной системы доступа к док-там. Процедура рассмотрения док-тов руководителем. Процедуры ознакомления исполнителей с док-тами и передачи док-тов на исполнение. Процедуры получения док-тов от исполнителей. Организация внутреннего док-тооборота.

Правила работы сотрудников с док-тами на бумажных и технических носителях, с электронными док-тами. Порядок хранения док-тов на рабочем месте. Хранение док-тов во внерабочее время. Учет док-тов, находящихся у исполнителей.

Порядок работы с конфи док-тами.

При выходе док-тов за пределы РСО угрозы док-там резко возрастают за счет санкционированного включения в работу с ними значительного числа сотрудников предприятия. В связи с этим организация правильного обращения персонала с конфи док-тами представляется особенно важной.

Под исполнителями док-тов понимаются все лица, которые в любой форме причастны к этому док-ту - готовят его, знакомятся с ним, визируют и подписывают.

Посторонним лицом является любое лицо, не имеющее права доступа к данному конкретному док-ту, даже рядом работающий сотрудник или руководитель.

При распределении конфиденциальных док-тов по руководителям и исполнителям получает практическую реализацию разрешительная система доступа к док-там. Системой доступа должно быть четко и однозначно определено: кто из руководителей предприятия (подразделения), кому из исполнителей и с какими категориями док-тов разрешает знакомиться (работать), а также порядок оформления таких разрешений в зависимости от категорий док-тов. В основе группировки док-тов по руководителям лежит Перечень док-тов, подлежащих рассмотрению руководством предприятия.

Руководителям в пределах их полномочий разрешается знакомить исполнителей только с теми док-тами и частями этих док-тов, которые требуются для выполнения ими служебных обязанностей. Руководители предприятия и структурных подразделений несут персональную ответственность за правомерность выдаваемых ими разрешений на доступ к док-там. Разрешение дается руководителем только в письменной форме.

Исполнители, которым док-т не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого док-та и исходные данные о нем

Док-ты, не включенные в перечень, передаются для работы соответствующим исполнителям на основе установленной схемы доступа исполнителей к док-там без дополнительного решения руководителя.

Процедуры ознакомления исполнителей с док-тами и передачи док-тов на исполнение:

В процессе передачи док-тов исполнителям реализуется решение руководителя предприятия или РСО по составу лиц, допускаемых к док-ту, и выполняются следующие процедуры : выдачи док-та исполнителю; получения док-та от исполнителя;

При приеме док-та от исполнителя внимательно проверяется комплектность док-та и сохранность всех его частей, их физическая целостность. За возврат док-та сотрудник входящего участка расписывается в первом экземпляре учетной карточке и в описи док-тов, находящихся у исполнителя . Одновременно во втором экземпляре карточки или в контрольном журнале указывается новое местонахождение док-та.

Док-ты передаются на другие участки вместе с первым экземпляром карточки под роспись во втором экземпляре карточки или в передаточном журнале. Передаточный журнал - вспомогательная учетная форма для док-тирования факта передачи док-тов между участками РСО.

По окончании выполнения необходимых действий с док-том на другом участке первый экземпляр карточки возвращается на входящий участок с необходимой оформленной отметкой.

Для работы с конфи док-тами исполнитель должен быть обеспечен: постоянным оборудованным рабочим местом; личным сейфом; номерной личной металлической печатью; экземплярами бланков внутренней описи док-тов, находящихся у исполнителя.

Исполнители должны иметь машинограмму перечня находящихся у них конфиденциальных док-тов, дел, бумажных и технических носителей информации. Электронная опись ведется в службе конфиденциальной док-тации. По окончании рабочего дня исполнитель проводит проверку наличия и комплектности конфиденциальных док-тов и сдает их, в службу конфиденциальной док-тации. Оставлять док-ты и дела на рабочем месте запрещается.

4.16. Проверка наличия док-тов, дел и носителей информации.

Назначение, задачи и типы проверок наличия док-тов, дел и носителей информации. Процедура ежедневной проверки наличия. Состав, объем и процедура квартальной проверки наличия. Состав, объем и процедура годовой проверки наличия. Основания и процедура внеплановой проверки наличия док-тов, дел и носителей информации.

Проверки наличия конфиденциальных док-тов являются важной составной частью конф делопроизводства. Цель проверок состоит в обеспечении контроля за сохранностью док-тов. Это достигается путем установления соответствия фактического наличии док-тов учетным данным на них, выявления отсутствующих док-тов и принятия мер по их розыску.
Проверки направлены и на выявление неучтенных по каким-либо причинам конфиденциальных док-тов, установление этих причин и взятие таких док-тов на учет.
'Положение о порядке обращения со служебной информацией ограниченного распространения" предусматривает проведение проверок наличия док-тов не реже одного раза в год, допуская тем самым возможность их проведений только один раз в год. Однако при такой периодичности резко снижается вероятность своевременного обнаружения утрат док-тов и их нахождения. Чем чаще проводятся проверки, тем больше гарантий обеспечения сохранности док-тов. Проверками должны быть охвачены не только док-ты, но и дела, а также носители конфиденциальной информации.
Кроме того, существуют так называемые нерегламентные проверки фактического наличия док-тов, которые проводятся по мере возникновения необходимости в них.

В целях обеспечения контроля за проведением всех необходимых проверочных операций и избежания их дублирования необходимо проставлять соответствующие отметки о проверках.

Для проверки правильности проставления регистрационных данных бумажных носителей должны привлекаться журнал учета бумажных носителей и носители. В журнале и на носителе проверяется соответствие записей об учетном номере и грифе конфиденциальности носителя, дате регистрации, виде, наименовании или назначении носителя, количестве листов. В носителе проверяется правильность нумерации листов. Отметка о проверке проставляется в журнале рядом с номером носителя.

Для проверки правильности проставления отметок об отправлении док-тов привлекаются учетные журналы, в которых заре-гистрированы отправленные док-ты, и сопроводительные материалы, по которым отправлены док-ты . В журнале и сопроводительном док-те проверяется соответствие записей о номере, грифе конфиденциальности, виде и наименовании док-та, адресате, номерах отправленных экземпляров, наименовании, номере и дате сопроводительного док-та.

Годовая проверка наличия дел должна проводиться после подшивки в дела истекшего года всех поступивших и изданных за этот год док-тов и после закрытия дел. Если отдельные док-ты требуют длительного исполнения и поэтому не могут быть подшиты в дела, то их следует перерегистрировать в журнал учета док-тов следующего года с целью закрытия соответствующего дела за истекший год, однако по док-там постоянного срока хранения такая перерегистрация может допускаться как исключение.

Нерегламентные проверки наличия конфиденциальных носителей, док-тов и дел проводятся при смене руководителя и сотрудников подразделения конф делопроизводства, их временном отсутствии (болезнь, командировка, отпуск), временном отсутствии исполнителей, нарушении оттисков печатей на хранилищах док-тов, ликвидации предприятия. Во всех случаях они осуществляются путем проверки соответствия фактического наличия носителей, док-тов и дел учетным данным на них.

4.17. Экспедиционная обработка отправляемых конфиденциальных док-тов.

Угрозы док-там в процессе их экспедиционной обработки и доставки адресатам, задачи защиты. Назначение экспедиционной обработки док-тов. Состав процедур, сопровождающихся отправку конфиденциальных док-тов адресатам. Особенности обработки отправляемых и получаемых конфиденциальных док-тов.

В процессе обработки отправляемых конфиденциальных док-тов решаются задач:

-- исключить возможность вскрытия пакета и несанкционированного ознакомления с док-тами в процессе их пересылки адресату;

-- ограничить возможности утери, кражи или подмены пакета с конфи док-тами, подмены док-тов и листов;

-- подтвердить факт отправки док-та и его учет;

-- исключить ошибочную отправку док-та, необоснованную рассылку док-тов ряду адресатов.

Конф док-ты, как правило, упаковываются в два конверта. На внутреннем указывают гриф конфиденциальности, фамилию лица, которому док-ты адресуются, номера вложенных док-тов, внутренний пакет опечатывается по склейкам; на внешнем может проставляться пометка "Лично". Пакеты с конфи док-тами пересылаются ценными почтовыми отправлениями.

Доставка (передача) конфиденциальных док-тов сотрудниками лично, как правило, не допускается; разрешение на это должно исходить от руководства организации под их ответственность в форме записи в регистрационной форме. Передача док-тов курьером также фиксируется в спец разносной книге или расписке.

Конф док-ты могут также приходить по факсимильной связи, электронной почте, по телеграфной и телетайпной связи. Док-ты, поступающие по ли факсимильной связи, должны просматриваться на общих основаниях с целью определения степени их конфиденциальности. При пересылке конфиденциальных док-тов электронной почтой, по каналам факсимильной или иной оперативной связи текст док-та рекомендуется шифровать.

4.18. Работа с персоналом, допускаемым к конфиденциальной информации.

Задачи и стадии работы с персоналом. Критерии и процедуры подбора персонала. Док-тирование приема. Соглашение о неразглашении тайны.

Направления и методы текущей работы с персоналом. Задачи, принципы и способы обучение персонала. Методы контроля соблюдения персоналом правил работы с конфиденциальной информацией. Виды морального и материального стимулирования.

Процедуры увольнения работников и их док-тирование.

Работа с персоналом, допускаемым к конфиденциальной информации.

Прием сотрудников на работу - важный этап кадровой политики, потому что, не зная будущего сотрудника трудно быть уверенным как в его компетентности, так и в том, что он не будет источником угроз для конфиденциальной информации. Существуют процедуры приема сотрудников, работа которых связана с владением конфиденциальной информацией:

подбор предполагаемого кандидата для приема на работу или перевода, получение резюме;

изучение резюме (и личного дела, если кандидат работает на фирме) руководством фирмы, структурного подразделения и кадрового отдела, вызов для беседы подходящих кандидатов;

заполнение кандидатами и представление в отдел кадров заявления о приеме, автобиографии, личного листка по учету кадров (с цветной фотографией), копий док-тов об образовании, наличии ученых степей, ученых и почетных званий, передача в отдел кадров рекомендательных писем и при наличии характеристик;

собеседование экспертов с кандидатами с целью определения их личных и моральных качеств, профессиональных способностей, рассмотрение медицинской справки (по необходимости);

при необходимости -- тестирование и анкетирование кандидатов;

по совокупности собранных материалов и их анализа руководство фирмы принимает решение об отборе единственного

в случае согласия - подписание претендентом обязательства о неразглашении тайны фирмы, в частности, сообщаемых ему конфиденциальных сведений; информирование претендента о характере конфиденциальной информации, с которой он будет работать, наличии системы защиты этой информации и тех ограничениях, которые придется учитывать работнику в служебной и неслужебной обстановке;заведение личного дела на вновь принятого сотрудника; заполнение на сотрудника необходимых учетных форм, в том числе личной карточки формы Т-2;обучение сотрудника правилам работы с конфиденциальной информацией и док-тами, инструктажи, проверка знаний; оформление допуска сотрудника к конфиденциальной информации и док-там.

Собеседования бывают различных видов: биографическое, ситуационное, критериальное (интервью), психологическое. Собеседования, как правило, проводятся несколько раз, также возможно проведение в письменной форме - тестирование.

Предоставленный комплект док-тов, из которых в дальнейшем будет сформировано личное дело сотрудника, является предметом тщательного изучения руководителями фирмы, структурного подразделения, коллегиального органа управления и отдела кадров при решении вопроса о назначении данного лица на должность.

Предоставленные кандидатом персональные док-ты тщательно проверяются на достоверность: соответствие фамилий, имен и отчеств, других персональных данных, наличие необходимых отметок и записей, идентичность фотографии и личности гражданина, соответствие формы бланка годам их использования, отсутствие незаверенных исправлений, соответствие и качество печатей.

Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений.

Прием на работу оформляется приказом (распоряжением) работодателя, который издается на основании заключенного трудового договора. При этом такой приказ работодателя о приеме на работу объявляется работнику под расписку в 3-дневный срок со дня подписания трудового договора. Содержание приказа работодателя о приеме на работу должно соответствовать условиям заключенного трудового договора.

Затем необходимо заполнить на вновь принятого работника личную карточку (форма Т-2) и подшить подлинник приказа в дело. Через 5 дней после приема человека на работу на основании приказа о приеме делается запись в трудовой книжке.

Текущая работа с персоналом, обладающим конфиденциальной информацией

Текущая работа с персоналом, обладающим конфиденциальной информацией, включает в себя:

обучение и систематическое инструктирование сотрудников; проведение регулярной воспитательной работы с персоналом, работающим с конфи сведениями и док-тами; постоянный контроль за выполнением персоналом требований по защите конфиденциальной информации; контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ фирмы; проведение служебных расследований по фактам утечки информации и нарушении персоналом требований по защите информации;совершенствование методики текущей работы с персоналом.

Выделяют три группы мотиваций:

методы непосредственной мотивации труда (воздействие на личность сотрудника, например, убеждение, агитация)

методы властной, принудительной мотивации (выполнение указаний, приказов)

методы стимулирования труда (моральное - уважение, признание со стороны коллектива,

Увольнения сотрудников

При увольнении сотрудников, связанных с конфиденциальной информацией необходимо:

написание сотрудником заявления об увольнении с подробным раскрытием причины увольнения и желательно указанием места предполагаемой работы; передача заявления руководителю структурного подразделения для оформления и передачи в отдел кадров; прием службой конфиденциальной док-тации от увольняющегося сотрудника всех числящихся за ним док-тов, баз данных, носителей информации, изделий, материалов, с которыми он работал, проверка их комплектности, полноты и оформление приема в описи исполнителя или актом; сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входить в рабочее помещение с использованием знания шифра кодового замка (при необходимости - изменить кодВ любом случае после увольнения сотрудников, осведомленных о сведениях, составляющих КТ, целесообразно через возможности службы безопасности фирмы (частного детективного агентства) проводить оперативную установку по их новому месту работы и моделировать возможности утечки конфиденциальных данных.

Персонал организации представляет собой один из основных внутренних источников угроз безопасности информационных ресурсов организации, т.к. персонал является одним из основных источников информации, единственным активным участником организационных коммуникаций и поэтому - основным каналом утечки информации. В этой связи персонал представляет собой не только субъект, но и объект системы защиты информации.

Работа с персоналом должна носить постоянный систематический характер. В этой работе выделяется несколько взаимосвязанных этапов, на каждом из которых решаются совокупности задач по защите информации.

Первым этапом является подбор персонала. Он может осуществляться из внутренних и внешних источников. Для некоторых категорий персонала, связанных с допуском к наиболее важной секретной или конфиденциальной информации, наиболее предпочтительным, а в ряде случаев и единственно возможным, является подбор из внутренних источников, т.е. путем ротации сотрудников, перевода их на другие, в том числе и более высокие должности.

Подбор персонала на должности, связанные с работой с защищаемой информацией, осуществляется в соответствии с определенными критериями. В качестве критериев подбора рассматриваются требования к профессиональным (образование, опыт и стаж работы и др.) и личным качествам (возраст, пол, психологические особенности личности, социальный статус и др.) потенциальных претендентов, на каждую конкретную должность. Совокупность критериев подбора представляет собой своеобразную модель должности или рабочего места. Сущность подбора, в связи с этим, представляет собой определение соответствия качеств конкретного претендента разработанной модели. При этом наиболее сложной задачей является определение личностных характеристик претендента, которым в деле защите информации уделяется наибольшее внимание.

Обобщенно стадии могут выглядеть следующим образом.

1. Предварительная беседа по отбору: знакомство с претендентом; сбор личным док-тов, представляемых претендентом; оценка внешнего вида, манеры поведения, умения общаться и т.д.

2. Изучение, анализ и оценка информации, содержащейся в личных док-тах претендента, и полученной в ходе первого этапа. Предварительный отбор, значительно сужающий круг претендентов.

3. Собеседования и тесты по найму, проверки рекомендаций и обязательств перед другими фирмами. В ряде случаев - проверки претендентов с использованием достаточно широкого круга методов (проверки на добропорядочность, проверки прошлого поведения человека, метод "позитивного вето", проверки на полиграфе, тестирование, опросы коллег, соседей, членов семьи, знакомых, анализ напряженности голоса, мимики, жестов и т.д., контент-анализ и др.). Достаточно широко используется практика привлечения к сбору информации о претенденте специальных агентств.

4. Медицинский осмотр.

5. Анализ полученной информации и принятие решения о найме; сообщение о нем претенденту с объяснением причин и оснований для отказа в приеме, а также названия агентства, собиравшего информацию.

В случае положительного решения о найме производится прием на работу, сопровождающийся соответствующими процедурами док-тирования трудовых отношений (написание кандидатом заявления о приеме на работу, или подписание контракта, издание приказа о зачислении).

Как правило, в это же время принятый сотрудник подписывает обязательство о неразглашении тайны.

Существуют специальные процедуры, связанные с увольнением сотрудника, обладавшего секретной или конфиденциальной информацией, и порядок их док-тирования.

Работа с персоналом, обладающим секретной или конфиденциальной информацией, осуществляется в течение всего времени его пребывания в организации. Можно выделить несколько основных направлений текущей работы с персоналом:

1. Регулирование доступа к защищаемой информации, основным инструментом которого является разрешительная система доступа; контроль доступа.

2. Обучение персонала в соответствии с программами по безопасности и защите информации.

3. Мотивация персонала к деятельности по обеспечению безопасности и защите информации.

Процесс обучения, его планирование и организация осуществляются в основном СБ при участии службы управления персоналом.

Организация обучения персонала преследует цель не только собственно обучения, но и мотивации персонала к деятельности по защите информации.

Под мотивацией понимается целенаправленное воздействие на личность в соответствии с ее потребностями, ценностями и ориентациями, побуждающее ее изменять поведение в определенных целях и действовать в соответствии с этими целями.

В нашем контексте - это процесс побуждения сотрудника к деятельности по защите информации.

Механизм мотивации сотрудников, таким образом, предполагает взаимодействие внутренних (мотивы, ценностные ориентации, воля) и внешних побудителей к действию. Механизм внешнего воздействия реализуется в системе стимулов к определенной деятельности.

В числе внешних побудителей к деятельности выделяются материальные и моральные стимулы.

Какими стимулами являются:

- материальное вознаграждение и другие дополнительные льготы, которые могут выражаться в денежной и неденежной формах;

- организация продвижения по службе (или управление карьерой);

- вовлечение работников в управление компанией и владение собственностью;

- организация обучения и повышения квалификации.

Эффективная система стимулирования должна включать не только различного рода поощрения, но и обоснованную систему санкций, применяемых для наказания за нарушение норм и правил, установленных в организации.

К методам мотивации персонала к деятельности по защите информации относят также управление стрессами и конфликтами в организации, деятельность по воспитанию чувства корпоративности "фирменного патриотизма", "духа единой команды" и т.п., позволяющего удовлетворить потребности в причастности к общему делу.

Важность задач по защите информации и достаточно жесткие требования режима ее защиты предполагают необходимость контроля работы персонала со стороны руководства организации.

Направления и методы контроля за соблюдением персоналом правил работы с защищаемой информацией зависит от объекта контроля. Так, знание персоналом требований режима защиты информации может быть проконтролировано при помощи традиционных форм контроля знаний: экзамен, зачет, тестирование, собеседование. Контроль доступа персонала к защищаемой информации осуществляется путем создания систем контроля доступа к источникам информации, ее носителям, хранилищам, средствам коммуникации и т.д. Основными методами контроля доступа могут быть проверки соблюдения требований разрешительной системы, проверки (инвентаризация) носителей информации, наблюдение за действиями персонала, использование различных технических систем доступа (сигнализация, телевизионные системы наблюдения, специальные идентификационные (интеллектуальные) карточки и т.п.).

В практике защиты информации возможны методы взаимоконтроля сотрудников одного подразделения (если такой контроль не носит фискального характера). Принцип персональной ответственности за сохранность защищаемой информации диктует необходимость самоконтроля.

Практически ни одна организация даже при создании идеальных условий для работы персонала, создании эффективной системы защиты информации не может быть гарантирована от возможности разглашения ее сотрудником доверенной ему информации, утечки или утраты информации, несанкционированного доступа к ней. При возникновении такой ситуации руководство организации принимает решение о проведении служебного расследования.

Под служебным расследованием по фактам разглашения секретных или конфиденциальных сведений, утраты док-тов или изделий, содержащих такие сведения, а также по фактам иных нарушений режима защиты информации принимаются действия администрацией организации, направленные на выяснение обстоятельств разглашения сведений, составляющих государственную или КТ, либо утраты док-тов или изделий, содержащих сведения, составляющие ГТ или КТ, определение степени их секретности, розыск утраченных док-тов или изделий, выявление виновных в этом лиц, а также установление причин и последствий совершенного правонарушения.

Порядок проведения служебного расследования устанавливается нормативными док-тами.

4.19. Угрозы информации при док-тировании и задачи ее защиты.

Способы и средства док-тирования конфиденциальной информации. Способы аудио и видео док-тирования. Средства док-тирования информации. Способы док-тирования с помощью технических средств. Средства копирования док-тов. Средства передачи информации.

Классификация угроз информации при использовании средств док-тирования информации и задачи защиты информации.

В ходе исполнения конфиденциальных док-тов могут возникнуть следующие основные угрозы:

-- утрата (разглашение, утечка) ценной информации за счет ее док-тирования на случайном носителе, не входящем в сферу контроля службы конфиденциальных док-тов (КД);

-- подготовка к изданию док-та, не обоснованного деловой необходимостью или не разрешенного для издания, то есть док-тирования определенной информации;

-- включение в док-т избыточных конфиденциальных сведений, что равносильно разглашению тайны фирмы;

-- случайное или умышленное занижение грифа конфиденциальности сведений, включенных в док-т;

-- изготовление док-та в условиях, которые не гарантируют сохранности носителя, конфиденциальности информации;

-- утеря оригинала, черновика, варианта или редакции док-та, его части, приложения к док-ту, умолчание этого факта и попытка подмены утраченных материалов;

-- сообщение содержания проекта конф или открытого док-та постороннему лицу, несанкционированное копирование док-та или его части (в том числе на неучтенной дискете);

-- утечка информации по техническим каналам;

-- ошибочные действия работника службы КД, особенно в части нарушения разрешительной системы доступа к док-там.

В соответствии с указанными угрозами формируются задачи защиты информации в док-топотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты док-тированной информации от возможных опасностей является формирование защищенного док-тооборота, то есть использование в обработке и хранении док-тов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным док-тооборотом понимается контролируемое движение конфиденциальной док-тированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.

Помимо общих для док-тооборота принципов защищенный док-тооборот основывается на ряде дополнительных принципов:

-- ограничение доступа персонала к док-там, делам и базам данных деловой, служебной или производственной необходимостью;

-- персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конф сведениям и док-там;

-- персональная ответственность каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

-- жесткая регламентация порядка работы с док-тами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.

5.1. Классификация демаскирующих признаков по характеристикам объектов и информативности. Мера информативности признака. Понятие об эталонной и текущей признаковых структурах.

Задача защиты признаковой информации решается, прежде всего, путем предотвращения обнаружения и распознавания объектов, содержащих эти признаки. Демаскирующие признаки объекта составляют часть его признаков, а значения их отличаются от значений соответствующих признаков других объектов. Совпадающие значения признаков не относятся к демаскирующим.

В зависимости от состояния объекта его демаскирующие признаки разделяются на опознавательные признаки и признаки деятельности.

Опознавательные признаки объекта описывают его внешний вид, излучения, физические и химические свойства и др. Признаки деятельности объектов характеризуют этапы и режимы функционирования объектов.

Демаскирующие признаки объекта можно разделить на три группы:

-- видовые признаки(размеры,цвет и структура);

-- признаки сигналов (параметры полей и электрических сигналов, генерируемых объектом: их мощность, частоту, );

-- признаки веществ(физический и химический состав материального объекта)..

Таким образом, совокупность демаскирующих признаков рассмотренных трех групп представляет собой модель объекта, описывающую его внешний вид, излучаемые им поля, внутреннюю структуру и химический состав содержащихся в нем веществ.

Важнейшим показателем признака является его информативность. Чем признак более индивидуален, т. е. принадлежит меньшему числу объектов, тем он более информативен.

Наиболее информативен именной признак, присущий одному конкретному объекту. Такими признаками являются фамилия, имя, отчество человека, отпечатки пальцев и др.

По времени проявления признаки могут быть:

-- постоянными, не изменяющимися или медленно меняющимися в течение жизненного цикла объекта;

-- периодическими, например следы на снегу;

-- эпизодическими, проявляющимися при определенных условиях, например случайно появившееся на поверхности объекта пятно краски.

Структуры с наиболее достоверными признаками объекта называются эталонными, а структуры с полученными в момент наблюдения и измерения признаками -- текущими. Эталонные структуры периодически корректируются путем замены их недостаточно достоверных признаков более достоверными и информативными текущими признаками. Например, фотография в паспорте как эталонная признаковая структура видовых признаков лица владельца заменяется на новую при изменении информативных значений признаков в результате старения, отпускания бороды и усов, вживления волос на облысевшую часть головы, изменения черт лица после пластической операции.

5.2. Средства скрытного наблюдения за объектами. Принципы работы приборов ночного видения. Принципы работы локаторов бокового обзора, способы повышения разрешающей способности.

Скрытое Наблюдение - комплекс мероприятий, скрытого наблюдению за лицом, с целью получения о нём и его образе жизни максимально полной информации.

В зависимости от условий, в которых проводятся мероприятия, негласное наблюдение может проводиться в следующих формах:

-- скрытое негласное наблюдение -- скрытие своего присутствие от объекта наблюдения.

-- зашифрованное негласное наблюдение -- условия, в которых оперативный сотрудник находится в непосредственной близости от объекта, не скрывает своего присутствия, но тщательно маскирует свои действия под благовидным, не вызывающим у объекта внимания предлогом.

По техническому оснащению, негласное наблюдение может проводиться:

-- с использованием технических средств наблюдения, видео- и звукозаписи;

-- без использования технических средств.

По форме организации наружное наблюдение подразделяется на: стационарное, подвижное и зональное. Существует два способа наружного наблюдения: сопровождающее, при котором контроль за поведением объекта ведется с позиций, находящихся позади него и встречное, при котором оно ведется с позиций, находящихся впереди объекта.

Средства и способы наблюдения делятся на три основные группы:

1.Средства наблюдения в оптическом диапазоне.

2.Средства наблюдения в инфракрасном диапазоне

3.Средства наблюдения в радиодиапазоне.

1.В оптическом видимом диапазоне света инфа разведкой добывается путем визуального, визуально-оптического и телевизионного наблюдения, фото- и киносъемки, а в инфракрасном диапазоне -- с использованием приборов ночного видения и тепловизоров.

2.Для визуально-оптического наблюдения в инфракрасном диапазоне необходимо переместить невидимое для глаз изображение в инфракрасном диапазоне в видимый диапазон. Эта задача решается в приборах ночного видения (ПНВ) и тепловизорах.

Основу приборов ночного видения составляет электронно-оптический преобразователь, преобразующий невидимое глазом изображение объекта наблюдения в видимое. Самый простой ЭОП, так называемый стакан Холста представляет собой стеклянный сосуд, из которого выкачан воздух .

Приборы ночного видения эффективно работают в условиях естественного ночного освещения, но не позволяют проводить наблюдения в полной темноте.

3.Средства наблюдения в радиодиапазоне

Радиолокационное наблюдение осуществляется в радиодиапазоне электромагнитных волн с помощью способов и средств радиолокации.

Локатор бокового обзора - это датчик, излучающий ультразвуковые волны в горизонтальном направлении, для просмотра ситуации справа и слева от судна. Направленные в сторону импульсы отражаются от объектов в воде и от дна, особенно на мелководье.

5.3. Способы и средства подслушивания с использованием технических средств. Особенности остронаправленных микрофонов. Особенности лазерного и СВЧ подслушивания.

Подслушивание - способ ведения разведки и промышленного шпионажа.

Подслушивание может быть непосредственное, когда акустические колебания говорящего прямо или через конструкции зданий и помещений достигают подслушивающего. Однако широко распространено подслушивание переговоров с использованием различных технических средств: микрофонов, радиоэакладок, лазеров, высокочастотных колебаний

Подслушивание вообще один из весьма распространенных способов получения (добывания) информации.
Подслушивание заманчиво тем, что воспринимается акустическая инфа и непосредственно человеческая речь, с ее особенностями, окраской, интонациями, определенной эмоциональной нагрузкой, часто содержащая не менее важные моменты, чем собственно прямое содержание. К этому следует добавить, что подслушиваемые переговоры воспринимаются в реальном масштабе времени и в определенной степени могут позволить своевременно принимать определенные решения.
Наиболее активно в настоящее время используются следующие способы подслушивания:

-- подслушивание разговоров в помещении с помощью предварительно установленных радиозакладок или магнитофонов;

-- подслушивание телефонных переговоров, телексных и телефаксных линий связи, радиотелефонов и радиостанций;

-- дистанционный съем информации с различных технических средств за счет их побочных электромагнитных излучений и наводок (перехват).

Охотники за чужими секретами нередко используют и остронаправленные микрофоны для подслушивания переговоров на расстоянии, на открытом пространстве или в общественных помещениях: бар, ресторан и т. п. Остронаправленные микрофоны имеют повышенный динамический и частотный диапазон и высокую чувствительность.

Существуют и другие методы подслушивания, например, лазерное облучение оконных стекол в помещении, где ведутся разговоры.

Иногда использую направленное радиоизлучение, которое заставит "откликнуться и заговорить" деталь в телевизоре, в радиоприемнике, в телефоне или другой технике.
При этом выбор параметров облучающего сигнала злоумышленник выбирает, исходя из условий оптимального получения необходимой информации. Для подобного съёма информации служат системы лазерного и СВЧ подслушивания.

Но подобные приемы требуют специфических условий и реализуются только довольно сложной и дорогой спец техникой.

5.4. Виды побочных электромагнитных излучений и наводок. Отличия пассивных и активных акустоэлектрических преобразователей. Условие возникновения паразитной генерации в усилителях.

Акустоэлектрический (или электроакустический) преобразователь - это устройство, преобразующее акустическую энергию в электромагнитную энергию в схемах тех устройств, в которых он находится (или, наоборот, энергию электромагнитных волн в акустическую).

Электроакустические преобразователи могут быть представлены следующими группами:

-- Индуктивные - эл.сигналы возникают в результате перемещений под действием ак.волн индуктивностей (катушек с металлической проволокой) в полях (магнитных и электрических) или при изменениях геометрических размеров катушек и их сердечников

-- Электродинамические преобразователи - индукционные системы, электрический контур которых перемещается в магнитном поле, порожденном внешним по отношению к контуру источником МДС

-- Электромагнитные - Действие подобных преобразователей основано на колебании ферромагнитного сердечника в переменном магнитном поле или изменении магнитного потока при движении сердечника;

-- Электростатические, действие которых основано на изменении силы притяжения обкладок конденсатора при изменении напряжения на нем и на изменении положения обкладок конденсатора относительно друг друга под действием, например, акустических волн;

-- Пьезоэлектрические основаны на прямом и обратном пьезоэлектрическом эффекте. К пьезоэлектрическим относятся кристаллические вещества и специальные керамики, в которых при сжатии и растяжении в определенных направлениях возникает электрическое напряжение. Это так называемый прямой пьезоэффект, при обратном пьезоэффекте появляются механические деформации под действием электрического поля;

-- Магнитострикционные (механострикционные) преобразователи, использующие прямой и обратный эффект магнитострикции. Под действием ак.волны изменяется магнитная проницаемость сердечников индуктивностей (контуров, трансформаторов) радио и электротехнических устройств, что приводит к эквивалентному изменению значений индуктивностей и модуляции протекающих через них высокочастотных сигналов

-- К особому классу электроакустических преобразователей относятся необратимые приемники звука, принцип действия которых основан на изменении электрического сопротивления чувствительного элемента под действием звукового давления (угольный микрофон).

Акустоэлектрический преобразователь-приемник характеризуется чувствительностью в режиме холостого хода Y_xx = U'/P и внутренним сопротивлением Z. По виду частотной зависимости U'/P различают широкополосные и резонансные приемники акустического излучения.

Электроакустический преобразователь-излучатель характеризуется:

-- чувствительностью, равной отношению Р на определенном расстоянии от излучателя на оси характеристики направленности к U или I;

-- внутренним сопротивлением, представляющим собой нагрузку для источника электрической энергии;

-- акусто-электрическим КПД n_А/ЭЛ = Р_АК/P_{ЭЛ ,}где Р_АК - активная излучаемая акустическая мощность; P_ЭЛ - активная электрическая потребляемая мощность.

Степень возможной опасности создания акустоэлектрического канала утечки информации зависит от коэффициента преобразования акустоэлектрического преобразователя - чем он выше, тем больше мощность (напряжение) преобразованного в электрический опасного сигнала при одинаковой мощности акустического сигнала: Р_ИСЭЛ = Р_ИСА* n_А/ЭЛ

Существенным в этом соотношении является то, что в состав коэффициента преобразования входит величина механического сопротивления соответствующего акустоэлектрического преобразователя, связанная с величиной трения перемещающихся под воздействием акустического поля элементов. Величина чувствительности акустоэлектрических преобразователей определяется в милливольтах опасного электрического сигнала к звуковому давлению опасного акустического сигнала в Па, т.е. мВ/Па. На практике часто сравнивают чувствительность акустоэлектрических преобразователей с чувствительностью специально созданных акустоэлектрических преобразователей, таких, как микрофоны.

5.5. Принципы инженерно-технической защиты информации и построения ее системы. Назначение и типы контролируемых зон.

Организация и проведение работ по ЗИ с ограниченным доступом определяется серией законов начиная от "Положения о государственной системе ЗИ в РФ от иностранных технических разведок и от ее утечки по ТК" до "Специальных требований и рекомендаций по технической защите КИ". (СТР-К-2002 это док-т, содержащий требования по ЗИ, которая подлежит защите в соответствии с законодательством РФ (служебная инфа, персональные данные и др. в соотв. с законодательством) или необходимость защиты которой определяет ее собственник). За организацию работ по ЗИ ответственность возлагается на руководителей предприятий и учреждений, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию. Методическое руководство и контроль эффективности предусматривают меры защиты, возлагаемые на руководителей службы безопасности (СБ). Научно-техническое руководство и непосредственную организацию работ по созданию СЗИ осуществляет главный конструктор/другое лицо, обеспечивающее НТР, создание объекта информатизации (ОИ). Ответственность за состояние ЗИ возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической защиты, которая может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по спец измерениям.

Порядок организации работ по созданию и эксплуатации ОИ определяется в разработанном на предприятии руководстве по ЗИ или в специальном положении о порядке организации и проведении работ по ЗИ. Эти док-ты должны предусматривать:

-- Порядок определения защищаемой информации;

-- Порядок привлечения подразделений предприятия, специалистов сторонних организаций к разработке и эксплуатации СЗИ ОИ;

-- Порядок взаимодействия всех занятых сил;

-- Порядок разработки, ввода в действие и эксплуатацию ОИ;

-- Определенную ответственность руководящего состава;

В начале всех работ в учреждении д.б. док-тально оформлены перечни сведений конф характера и чувствительной информации (относится к управлению различной сложности и опасными производственными циклами и процессами).

Предпроектная стадия.

Производятся обследование объекта, разрабатываются аналитическое обоснования необходимости создания СЗИ и частные задания на СЗИ.

Стадия проектирования и создания ОИ.

-- разработка задания на создание ОИ с учетом требований ТЗ на разработку СЗИ;

-- проведение строительно-монтажных работ в соответствии с проектной док-тацией;

-- разработка организационно-технических мероприятий по ЗИ;

-- приобретение сертифицированных ТС, программных средств, программно-технических средств защиты информационных установок;

-- разработка эксплуатационной док-тации на ОИ и средства ЗИ.

На стадии ввода в действие ОИ и СЗИ осуществляются:

-- опытная эксплуатация средств ЗИ в комплексе другими техническими и программными средствами в целях проверки их работоспособности в составе ОИ и отработки технологического процесса обработки (передачи) информации;

-- приемосдаточные испытания средств ЗИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

-- аттестация ОИ по требованиям безопасности информации.

На стадии ввода в действие ОИ и СЗИ оформляются:

-- акты внедрения средств ЗИ по результатам их приемо-сдаточных испытаний;

-- протоколы аттестационных испытаний и заключение по их результатам;

-- аттестат соответствия ОИ (защищаемое помещение и АС) требованиям по безопасности информации.

5.6. Классификация и сущность методов инженерно-технической защиты информации. Основные показатели эффективности инженерно-технической защиты информации.

Из факторов, влияющих на эффективность инженерно-технической защиты информации, ее методы должны обеспечить реализацию следующих направлений инженерно-технической защиты информации:

-- предотвращение и нейтрализацию преднамеренных и случайных воздействий на источник информации;

-- скрытие информации и ее носителей от органа разведки (злоумышленника) на всех этапах добывания информации.

Кроме того, учитывая, что для добывания информации злоумышленник может использовать различные специальные средства, третье направление включает методы обнаружения, локализации и уничтожения и этих средств, а также подавления их сигналов.

Первое направление объединяют методы, при реализации которых:

-- затрудняется движение злоумышленника или распространение стихийных сил к источнику информации;

-- обнаруживается вторжение злоумышленника или стихийных сил в контролируемую зону и их нейтрализация.

Затруднение движения источников угроз воздействия к источникам информации обеспечивается в рамках направления, называемого физической защитой. Физическая защита обеспечивается методами инженерной защиты и технической охраны. Инженерная защита создается за счет использования естественных и искусственных преград на маршрутах возможного распространения источников угроз воздействия.

Эти методы называются технической охраной объектов защиты. Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве,

Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ, поэтому для их защиты применяется метод скрытия информации.

К группе скрытие относятся:

-- пассивное скрытие - заключается в исключении или значительном затруднении обнаружения объектов;

-- активное скрытие - в создании техническим средствам разведки маскирующих шумовых помех различной физической природы и ложной обстановки по физическим полям;

-- специальная защита - заключается в скремблирование телефонных переговоров, кодирование цифровой информации криптографическими методами, программные методы модификации информации.

Другой метод защиты называется дезинформированием.

К группе дезинфа относятся:

-- техническая дезинфа;

-- имитация;

-- легендирование.

Контроль эффективности защиты информации содержит проверку полноты и обоснованности мероприятий по защите информации требованиям нормативных док-тов по защите информации, а технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимый с использованием технических средств контроля.

Контроль эффективности защиты

- предварительный;

- периодический;

- постоянный

Предварительный контроль проводится при любых изменениях состава, структуры функционирования системы защиты информации.

Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем защиты. Он проводится выборочно по планам, утвержденным руководителем организации, а также вышестоящими органами.

Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня защиты информации и, прежде всего, выявления слабых мест в системе защиты организации.

5.7. Назначение и виды физической защиты источников информации. Принципы работы системы контроля управления доступом. Достоинства и недостатки атрибутных и биометрических идентификаторов.

СКУД - комплекс мероприятий, направленных на ограничение и санкционирование перемещения людей, предметов и транспорта на территории о. в целом, в зданиях, сооружениях. В основе работы СКУД заложен принцип сравнения id признаков, принадлежащих конкретному физлицу/о., с признаками, заложенными в памяти системы.

Основные функции:

-- санкционирование (процедура присвоения каждому пользователю системы идентификатора (id), регистрация его в системе, задание для него временного интервала и уровня доступа);

-- идентификация (процедура опознавания пользователя по предъявленному id);

-- аутентификация (установление подлинности пользователя по предъявленному id);

-- авторизация (проверка полномочий, заключающаяся в проверке соответствия времени и уровня доступа пользователя системы, установленных в процессе санкционирования);

-- регистрация (протоколирование действий, происходящих в системе);

-- реагирование (реакция системы на несанкционированные действия).

СКУД - совокупность средств контроля и управления, обладающая технической, информационной, программной и эксплуатационной совместимостью. Средства КУД - механические, электромеханические, электрические и электронные конструкции, устройства и программные средства, обеспечивающие реализацию КУД.

Классификация СКУД. Критериями оценки СКУД являются основные технические характеристики и функциональные возможности. К основным техническим характеристикам относятся: уровень идентификации, количество контролируемых мест, пропускная способность, количество пользователей, условия эксплуатации.

1) по способу управления:

-- автономные - используются для управления одним или несколькими заграждающими устройствами без передачи информации на пульт централизованного наблюдения и без контроля со стороны оператора;

-- сетевые (централизованные) - используются для управления заграждающими устройствами с передачей информации на пульт централизованного наблюдения и контрольным управлением со стороны дежурного оператора;

-- универсальные.

2) по количеству контролируемых точек доступа:

-- малой емкости (< 16 т.д.);

-- средней емкости (16 ¤ 64 т.д.);

-- большой емкости (> 64 т.д.)

3) по функциональным характеристикам:

-- с ограниченными функциями;

-- с расширенными функциями;

-- многофункциональные.

4) по видам контролируемых объектов:

-- физические объекты;

-- инфа.

5) по уровню идентификации доступа:

-- одноуровневые - идентификация осуществляется по одному признаку;

-- многоуровневые - идентификация осуществляется по нескольким признакам.

6) по условиям эксплуатации различают системы (части систем) для работы: в закрытых отапливаемых помещениях, в закрытых неотапливаемых помещениях, под навесом на улице в условиях умеренно-холодного климата, на улице в условиях умеренно-холодного климата, в особых условиях (повышенная влажность, запыленность, вибрации и т. п.).

По степени защиты от НСД все СКУД делятся в соответствии с тех. хар-ми и функц-ми возможностями на 4 класса.

1 - Недостаточная степень защиты

2 - Средняя

3 - Высокая

4 - Очень высокая

Основные функциональные элементы:

Заграждающие устройства, Устр-во идентификации, Идентификатор, Считыватель, Точка доступа, Зона доступа, Временной интервал доступа, Уровень доступа..

5.8. Способы и средства защиты информации от подслушивания. Условия эффективной защиты путем акустического зашумления помещения.

Подслушивание - способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, специ постами подслушивания, всеми разведывательными подразделениями. Ведется также подслушивание переговоров и сообщений, передаваемых по техническим средствам связи.

Известно, что подслушивание может быть непосредственное, когда акустические колебания говорящего прямо или через конструкции зданий и помещений достигают подслушивающего. Однако широко распространено подслушивание переговоров с использованием различных технических средств: микрофонов, радиоэакладок, лазеров, высокочастотных колебаний

Микрофон является первым звеном в системе подслушивания с помощью технических средств как микрофонных, так и радиозакладных.

В качестве меры противодействия избирается акустическое воздействие на микрофон частотами ультразвукового диапазона. Такое воздействие не мешает ведению переговоров, но полностью подавляет воздействие речевого сигнала большим по величине давлением ультразвука.

Каким бы путем подслушивающий микрофон ни был доставлен, в помещение, - принесен и закамуфлирован либо принесен злоумышленником на себе или в каких-либо предметах - его сигналы могут быть либо записаны на магнитофон, либо переданы по проводам или эфиру.

Для обнаружения магнитофонов используются портативные и стационарные средства и системы. Обнаружение осуществляется по электромагнитному полю электрического двигателя, обеспечивающего продвижение записывающего носителя (магнитная лента, магнитная проволока и др.)

Для защиты от подслушивания применяются следующие способы:

1) информационное скрытие, предусматривающее:

- техническое закрытие и шифрование речевой информации в функциональных каналах связи;

- дезинформирование;

2) энергетическое скрытие путем:

- звукоизоляции акустического сигнала;

- звукопоглощения акустической волны;

- глушения акустических сигналов;

- зашумления помещения или твердой среды распространения другими широкополосными звуками (шумами, помехами), обеспечивающими маскировку акустических сигналов;

3) обнаружение, локализация и изъятие закладных устройств.

Средства акустического зашумления используются для защиты конфиденциальных переговоров по принципу создания акустических помех.

Средства акустического зашумления могут работать в нескольких режимах:

-- - формирование речеподобной помехи

-- - формирование помехи типа "белый шум".

Режим - речеподобная помеха:

В этом режиме изделие формирует помеху, действие которой приводит к "разрушению" смысла отдельных фраз и предложений при преобразовании речевого сигнала в электрическую копию с помощью средств акустического контроля всех типов (диктофонов, радиозакладок, проводных микрофонов, стетоскопов и пр.). При этом принцип записи или передачи речевого сигнала в конкретном акустическом средстве контроля не имеет значения.

Режим "Белый шум":

В этом режиме изделие формирует помеху, действие которой приводит к созданию шумовых помех при попытках записи или прослушивания акустического сигнала средствами негласного съема информации. При этом принцип записи или передачи речевого сигнала в конкретном акустическом средстве контроля не имеет значения.

5.9. Способы и средства, используемые для защиты информации от наблюдения в оптическом и радиодиапазонах.

Маскировка представляет собой метод информационного скрытия признаков объекта наблюдения путем разрушения его информационного портрета.

Применяются следующие способы маскировки:

-- -использование маскирующих свойств местности;

-- -использование маскирующих свойств местности;

-- -маскировочная обработка местности;

-- -маскировочное окрашивание;

-- -применение искусственных масок;

-- - нанесение на объект воздушных пен.

Использование маскирующих свойств местности (неровностей ландшафта, складок местности, холмов, гор, стволов и кроны деревьев и т. д.) является наиболее дешевым способом скрытия объектов. Маскирующие возможности растительности зависят от времени года.

Если отсутствуют или недостаточны для маскировки природные условия, то возможна дополнительная обработка местности, повышающая ее маскирующие возможности. Обработка местности направлена на изменение фона под основной цвет объекта.

Маскировочное окрашивание осуществляется путем нанесения на поверхность объекта красок, подобранных по цвету и яркости, близкими к фону. Различают 3 вида маскировочного окрашивания:
- защитное(проводится одноцветной краской под цвет и среднюю яркость фона);
- деформирующее(нанесение на поверхность объекта пятен неправильной геометрической формы);
- имитационное(цвет и характер пятен на поверхности объекта подбирается под расцветку окружающей местности).

Для дезинформирования применяются кроме деформирующих масок ложные сооружения и конструкции, создающие признаки ложного объекта (объекта прикрытия). Ложные сооружения могут быть плоскими и объемными, функциональными и нефункциональными. Они относятся к наиболее дорогим средствам защиты информации, особенно объемные и функциональные, так как должны воспроизводить полный набор демаскирующих признаков объекта прикрытия в динамике в течение всего периода защиты.

Для получения радиолокационного изображения в радиолокаторе формируется луч электромагнитной волны, которым облучается пространство с объектом наблюдения. Отраженный от поверхности объекта радиосигнал принимается радиолокатором. На экране появляется изображение объекта.

Для обеспечния защиты информации в радиодиапазонах используются стредства отражения.Для скрытия объектов от радиолокационного наблюдения его поверхность покрывают материалами, обеспечивающими поглощение облучающей электромагнитной энергии.Отражательная способность объекта в радиодиапазоне зависит не только от его геометрических размеров, но и от электропроводности его поверхности и конфигурации поверхности по отношению к направлению луча радиолокатора.

Основными показателями радиолокационных средств наблюдения являются:

• дальность наблюдения;

• разрешающая способность на местности.

5.10. Способы скрытия сигналов в стандартных телефонных каналах. Достоинства и недостатки скремблеров. Принципы работы и особенности вокодеров.

Технологии защиты телефонных переговоров -- методы и средства защиты, направленные на обеспечение конфиденциальности обмена информацией между абонентами.

Скрытие речевого сигнала в телефонном канале осуществляется методами технического или аналогового закрытия. По названию технических средств, обеспечивающих техническое закрытие, эти методы называются также скремблированием.

Техническое закрытие (скремблирование) отличается от криптографического тем, что при шифровании происходит скрытие речевого сообщения в символьной форме, а при техническом закрытии -- скрытие речевого сигнала без преобразования его в цифровую форму. При техническом закрытии изменяются признаки (характеристики) исходного речевого сигнала таким образом, что он становится похож на шум, но занимает ту же частотную полосу. Это позволяет передавать скремблированные сигналы по обычным стандартным телефонным каналам связи. По виду преобразования сигнала различают частотные и временные методы технического закрытия, а по режиму закрытия -- статическое и динамическое.

Скремблер - это устройство, осуществляющее шифрование передаваемой по каналам связи речи. Речь идет, конечно же, не о криптографии, используемой в сотовых сетях, а о действительно надежной защите. Скремблер присоединяется прямо к телефону и в выключенном состоянии никак себя не проявляет. Но стоит владельцу аппарата включить его, как он тут же начинает принимать все сигналы, идущие с микрофона, шифровать их и только после этого отсылать на выход. Декодирование речи происходит в обратном порядке. Сигналы с антенны подаются в скремблер, а уже оттуда - на динамик.

Достоинство скремблеров: защита осуществляется на всем протяжении линии связи, то есть в открытом виде инфа передается только от скремблера к телефону.

Недостатки скремблера: необходимость использования совместимого оборудования всеми абонентами, с которыми предполагается вести защищенные переговоры и потеря времени необходимая для синхронизации аппаратуры при установке безопасного соединения.

Вокодер (кодировщик голоса) это устройство, осуществляющее сжатие речевых сигналов. Вокодер позволяет существенно (примерно в 10 раз) уплотнить линию связи при незначительном ухудшении качества передачи.

5.11. Виды закладных устройств и способы их поиска. Состав и возможности автоматизированного комплекса радиомониторинга. Типы и принципы работы нелинейных локаторов.

Радиоэлектронные закладные устройства представляют собой устройства, создающие организованный канал несанкционированного получения и передачи в пункт приема аудио-, аудиовизуальной или обрабатываемой радиоэлектронной аппаратурой и передаваемой в сетях связи информации. Закладные устройства можно классифицировать по нескольким признакам:

-- радиозакладные устройства, излучающие в эфир;

-- закладные устройства, не излучающие в эфир (с передачей перехваченной информации по сетям связи, управления, питания и т. д.);

-- радиозакладные устройства с переизлучением;

-- закладные устройства с передачей перехваченной информации по стандартному телефонному каналу

В первую группу устройств входят радиозакладные устройства, предназначенью для получения аудиоинформации по акустике помещения, телевизионные закладные устройства, предназначенные для получения аудио- и визуальной информации, и радиозакладные устройства в телефонных линиях связи, устройствах обработки и передачи информации, сетях питания и управления. Передача перехваченной информации происходит Радио- или телевизионным радиосигналом.

К закладным устройствам с передачей информации без излучения в эфир можно отнести группу закладных устройств в линиях связи, питания, управления и охранной сигнализации с использованием этих линий связи для передачи перехваченной информации.

В ряде закладных устройств передача перехваченной информации осуществляется по стандартному телефонному каналу. Это так называемые закладки типа "длинное ухо", "с искусственно поднятой трубкой".

Существует целая группа закладных устройств, обеспечивающих получение информации по акустике помещения за счет модуляции акустическим сигналом отраженного микроволнового или ИК-сигналов от элементов, на которые воздействует акустический сигнал. Это могут быть стекла, окна, различные перегородки, резонаторы, специальные схемы и т. д.

Закладные устройства, их классификация и способы применения

Бывают: Проводные, Аппаратные.

Также можно классифицировать на:

-- ЗУ, излучающие в эфир

-- ТВ ЗУ

-- визуальная И

-- аудио И

-- Радио ЗУ

-- аудио И

-- Радио ЗУ в тлф сетях связи, сетях питания и управления

-- инфа, обрабатываемая в устройствах обработки и передаваемая в сетях управления и связи

-- ЗУ, не излучающие в эфир

-- ЗУ в схемах обработки информации, каналах связи, сетях питания и управления

-- инфа, обрабатываемая в устройствах обработки и передаваемая в сетях управления и связи

-- Тлф закладки типа "длинное ухо"

-- аудио И

-- ЗУ с использование облучения объекта

-- аудио И

Проводные ЗУ - носителем И является эл.ток.

Бывают:

-- акустические - содержат микрофон для преобразования ак.сигнала в эл.сигнал

-- аппаратные - ретранслируют эл.сигналы с речевой И, передаваемые по тлф линии.

Радио ЗУ.

Бывают:

-- акустические - устанавливаются в различных местах помещения (устройство: микрофон, микрофонный усилитель, генератор несущей частоты, модулятор, усилитель мощности, антенна)

-- аппаратные - устанавливаются в тлф аппаратах, ПЭВМ (нет микрофона, питание от средства-хозяина)

Радиозакладные устройства:

-- Исполнение: в виде технических модулей; Закамуфлированные под технические элементы и устройства элементы одежды, бытовые предметы.

-- Мощность излучения: до 10мВт --малая (наиболее часто); от 10 до 100 мВт -- средняя; более 100 мВт -- большая, регулируемой мощностью излучения. Малая мощность излучения передатчиков радиозакладок определяет относительно небольшую дальность приема их сигналов. Около 75% образцов обеспечивает функционирование канала на расстояниях 50-350м, 16% - на расстояниях 460-600 м, 7% - на расстояниях 740-800м и только около 2% - на расстояние до 1000 и более метров.

-- Используемый вид модуляции: AM, FM; NFM, WFM; с частотной мозаикой; инверсия спектра; дельта-модуляция (адаптивная дельта модуляция); шумоподобные сигналы.

-- По стабилизации частоты: нестабилизированные, со схемотехнической стабилизацией частоты, с кварцевой стабилизацией.

-- габариты - 1-8 дм3; вес - 5-350 г

По диапазону частот закладные устройства отличаются большим разнообразием. Для более 96% радиозакладок рабочие частоты сосредоточены в интервале 88 МГц-501 МГц, причем с частотами 92.5 МГц-169.1 МГц выпускаются 42% радиомикрофонов, а с частотами 373.4 МГц-475.5 МГц - 52% радиомикрофонов. Наиболее интенсивно используется диапазон частот 449.7 МГц-475.5 МГц, в котором сосредоточены рабочие частоты 36% образцов.

ТЛФ закладки

Отдельной по принципу работы является группа закладных устройств относящаяся к закладкам типа "длинное (телефонное) ухо" или закладка искусственно поднятой трубкой". Последнее название достаточно точно определяет принцип работы этого типа закладного устройства. При опущенной телефонной трубке на телефонную линию замкнута система вызова (механическая или электрическая), которую инициирует сигнал вызова. Когда абонент поднимает трубку, к линии подсоединяется телефонный аппарат и обеспечивается связь. Закладка с "искусственно поднятой трубкой" обеспечивает подсоединение телефонного аппарата и, следовательно, микрофона телефонной трубки (или дополнительного микрофона) к линии без механического подъема телефонной трубки.

Сетевые закладные устройства

Электросеть здания и ее элементы могут быть использованы злоумышленником для установки и питания закладных устройств, а также передачи перехваченной информации.

Закладные устройства могут быть закамуфлированы под розетку, тройник-розетку, различные переходники, в лампах, электрических светильниках, торшерах и т.п.

Часть закладных устройств выпускается без камуфляжа дня того, что бы потребитель мог их устанавливать по своему усмотрению.

Закладные устройства, связанные с электросетью, могут быть разделены на две группы :

-закладные устройства, обеспечивающие контроль акустической информации помещения с передачей перехваченной информации по сети электропитания

-радиозакладные устройства, обеспечивающие акустический контроль помещения с питанием от сети электропитания и передачей перехваченной информации по радиоканалу

Основные демаскирующие признаки возможной установки закладных устройств:

- следы ремонтных работ на полу и стенах, нарушение покраски;

- перестановка предметов в помещении;

- появление новых предметов, особенно таких, в кожухе или оболочке которых имеется одно или несколько отверстий.

- неизвестные ранее предметы с отрезками проводов;

- тонкие провода, заложенные по плинтусу, подвесной потолок;

- свежие царапины на предметах и т.п.

Визуальный поиск закладных устройств целесообразно начинать с возможной зоны получения информации, определяемой чувствительностью закладок. При этом особое внимание следует уделить предметам, которые вносятся в эту зону. Тщательно осматриваются все полости и щели в полу, мебели, карнизах. Особое внимание следует обращать на свежие швы, покраску различных элементов мебели, пола, стен, просматривать элементы электросети, тщательно осматривать наружные поверхности стен, стекла окон на обнаружение посторонних предметов. Осматриваются воздушные полости в стенах и воздуховоды. Особое внимание уделяется батареям отопления, трубам подачи оды, газа. Для проведения визуального контроля используют досмотровые зеркала, лупы, фонари, эндоскопы. Важно, чтобы он проводился в определенной последовательности по часовой или против часовой стрелке и не миновал ни одного заслуживающего внимания предмета. Если предполагается периодическое проведение визуального контроля, целесообразно иметь возможность сравнения предыдущих результатов с проводимыми. Визуальное обследование заканчивают, обычно, установкой различных меток, позволяющих при последующих контрольных проверках выяснить, перемещалась ли мебель, открывались ли дверцы стола, шкафа.

Появление нелинейных радиолокаторов позволило обнаруживать и отличать скрытые объекты, содержащие полупроводниковые элементы от металлических элементов. Принцип работы нелинейных радиолокаторов основан на разнице "отклика" - переизлучения объектом гармоник падающего на него излучения первой гармоники нелинейного радиолокатора. В зависимости от начинки объекта изменяется и величина (мощность) четных и нечетных гармоник переизлучаемого сигнала (практически используются 2 и 3 гармоники). Большинство объектов, окружающих нас, являются "линейными". Вольт-амперная характеристика таких объектов графически выражается в виде прямой, т.е. она является линейной. Полупроводниковые устройства имеют нелинейную ассиметричную характеристику. Полупроводники генерируют ответный сигнал с большим количеством одинаковых гармоник исходного сигнала. Металлические предметы, находящиеся в тесном контакте друг с другом имеют нелинейную симметричную вольт-амперную характеристику. Сила тока в этом случае не имеет прямой зависимости от подаваемого напряжения. Такие металлические предметы генерируют ответные сигналы с большим количеством непарных гармоник исходного сигнала. Эти условия используют на практике для определения содержания объекта (электронного или контактного).

5.12. Требования к экранам электромагнитных полей на низких и высоких частотах. Способы снижения излучений симметричных и несимметричных кабелей. Эффективность экранирования.

Для предотвращения утечки информации по радиоэлектронным техническим каналам утечки информации, вызванных ПЭМИН и радиозакладными устройствами, на опасных направлениях применяют электромагнитные экраны. Физические процессы при экранировании отличаются в зависимости от вида поля и частоты его изменения.

Различают электрические экраны для экранирования электрического поля, магнитные для экранирования магнитного поля и электромагнитные -- для экранирования электромагнитного поля. Способность экрана ослаблять энергию полей оценивается эффективностью экранирования .

В зависимости от частоты, показателей магнитных и электрических свойств материала экрана влияние отражения и поглощения на разных частотах существенно отличается. На низких частотах наибольший вклад в эффективность экранирования вносит отражение от экрана электромагнитной волны, на высоких -- ее поглощение в экране.

Экранированием проводов решаются 2 задачи:

" уменьшение наводок на выходящие за пределы контролируемой зоны провода от электромагнитных излучений основных и вспомогательных технических средств и систем;

• снижение уровня электромагнитных излучений проводов информационных линий основных и вспомогательных технических средств и систем.

Экранирование провода несимметричного кабеля производится путем размещения его в экране-- металлической (железной, медной, цинковой, свинцовой) трубе и металлической сетчатой оплетке (плетенке). Для экранирования электрической составляющей экран заземляется.

Экранирование проводов симметричных кабелей с целью снижения излучений, производится аналогично рассмотренным способов.

5.13. Средства, применяемые для видеонаблюдения в системах физической защиты. Принципы работы детектора движения. Способы увеличения видеозаписи изображений от телевизионных камер наблюдения.

Решаемые задачи:

-- Общее наблюдение территории охраняемого об-та

-- Обнаружение появившегося в поле зрения телевиз. камеры нарушителей.

-- Идентификация обнаруженных нарушителей (целей)

Основные компоненты ТСВ:

-- Телевизионные камеры и объективы

-- Устр-ва передачи телевизионного сигнала:

- технические каналы передачи телеизображения (кабельные, проводные, радио)

- видеоусилители и видеораспределители

3) Устр-ва обработки и коммутации видеосигналов:

- видеомониторы - видеокоммутаторы последовательного действия (свитчеры)

- видеоквадраторы - видеомультиплексоры - матричные коммутаторы - ПК

4) Оборудование видеозаписи и архивирования:

- специальные видеомагнитофоны

- цифровые видеорегистраторы

5) Обнаружители движений

6) Сис-ма электропитания телевизионных устр-в

7) Дополнит. оборудование: кожухи для использования телекамер вне и внутри помещений; поворотные устр-ва; кронштейны; устр-ва ИК подсветки для работы в темноте;

Тел. камера - устр-во, которое преобразует оптическое изображение наблюдаемого объекта в электронный видеосигнал.

Различают камеры:

корпусные и бескорпусные; черно-белого и цветного изображения; обычной и повышенной чувствительности; обычного и высокого разрешения; для внутреннего и наружного наблюдения; для скрытого наблюдения.

Кач-во ТВК определяется следующими хар-ками:

Оптический формат - размер фоточувствительной области ПЗС-матрицы в дюймах. Основные форматы: Ќ", 1/3", Ґ", 2/3", 1".

Разрешающая способность (разрешение) - макс. кол-во телевизионных линий (ТВЛ), различаемых в выходном сигнале камеры при минимально допустимой глубине модуляции 10%.

Объектив - устр-во формирующее изображ. в плоскости ПЗС-матрицы. Бывает встроенным в камеру и сменным. Для камер с присоединительным узлом С подходят объективы типа С, а для камер с узлом CS - объективы CS и С со спец. переходным кольцом.

Параметры объективов:

Фокусное расстояние F - расстояние в мм между задней главной плоскостью и фокусом, хар-ет величину угла зрения при опред. оптич. формате камеры. Чем меньше фокусное расстояние, тем больший угол наблюдения, и наоборот. При больш. углах зрения (90-100®) сложно рассм. детали. Удобный для оператора угол зрения - 60-70®, т.к. такое изображение хорошо согласуется с хар-ками чел-кого зрения. Угол зрения камеры опр-ся как f, так и форматом матрицы.

Пороговая чувствительность - мин. освещенность на объекте, при кот. можно различить переход от черного к белому. Обычная чувствительность - 0,01-0,5 люкса для черно-белой и 1-3 люкса для цветной камеры. В сист. наблюдения слабоосвещенных объектов, имеющих малую отражательную способность, испол-ся камеры высокой чувст-ти порядка 0,01 люкса. ПЗС-матрицы позволяют получать четкое изображение особенно "теплых" объектов (чел-ка) в условиях полной темноты при встроенной подсветке ИК лучами;

Электронный затвор - эл-т конструкции ПЗС-матрицы, обесп-щий возм-ть изменения времени накопления электрич. заряда (выдержки). Позвол. получать прием-е кач-во изображения быстро движущихся об-тов и обесп-т работоспособность камеры в условиях высокой освещенности; Обесп-т регул-ку выдержки от 1/50 до 0,0001.

Электронная диафрагма - эл-т конструкции ПЗС-матрицы, обеспечивающий автоматическую регулировку выдержки в завис-ти от уровня освещенности. Принцип действия аналогичен принципу действия электрон. затвора;

Автоирис - способность камеры управлять объективами с электронно-регулируемой диафрагмой встроенным усилителем (при управлении объективом без встроенного усилителя используется термин "прямое управление"). Наличие автоириса - существенное достоинство камеры, т.к. регулировка глубины резкости без изменения диафрагмы принципиально невозможна;

Автом. регулировка усиления (АРУ) - св-во камеры измен-ть коф-т усиления видео тракта в завис. От ур-ня видео сигнала. Обычно диапозон регул-ки усиления огран. 12-40 дБ, большее приводит к зашумлению видеосигнала.

Отношение сигнал/шум. Этот параметр связан с чувствительностью камеры. Его учитывают, когда требуется высокое кач-во телевизионного сигнала - чем оно выше, тем выше кач-во изображения. Обычным считается соотношение сигнал/шум - 40 дБ, у камер высокого класса - 58 дБ.

Компенсация засветки - способ-ть камеры автомат. устан-ть выдержку и параметры усиления по выбран. фрагменту изобр-я.

Конструкция узла присоединения объектива: если камера не имеет встроенного объектива, у нее есть узел присоединения для установки сменных объективов. Есть 2 типа станд-х конструкций узлов присоединения:

1) Тип С обеспечивает расстояние до опорной плоскости с ПЗС-матрицы 17,5 мм;

2) Тип CS обесп-т расст-е до опорной плоскости с ПЗС-матрицы 12,5 мм, явл. наиболее распрост-н.

Напряжение питания: от сети пер. тока 220В и 50Гц или от ист-ка пост-го тока 12В (реже 24В и 9В).

Трансфокатор - объектив с переменным фокусным расстоянием, управляемый дистанционно оператором. Позволяет увеличивать изображение в 6 - 20 раз. Объективы с трансфокаторами называются вариообъективами. Фокусное расстояние изменяется вручную или путем сервоуправления. Вариообъективы из-за большой стоимости прим-ся только при необх-ти быстро увеличить изобр-е мелкой детали (идент-ция личности или автомобил. номеров).

Относительное отверстие f - отношение диаметра входного зрачка к заднему фокусному расстоянию. В технической док-ции на телекамеру указывается ее чувствительность при относительном отверстии объектива, с которым она используется. При отсутствии парам-ра счит-ся, что f = 1,4.

Возможность регулирования диафрагмы. Различают:

- С ручным управлением диафрагмой;

- С автодиафрагмой применяются в следующих условиях:

- Работа телекамеры на улице при большой освещенности;

- Когда требуется макс. глубина резкости, кот. достигается максимально закрытой диафрагмой;

- Когда требуется четкая передача границ очень ярких объектов.

Видеомониторы - устр-ва, преобразующие видеосигналы, поступающие с камеры, в двухмерное изображение. Это спец изделия для использования в телесистемах наблюдения, они обладают высокой надежностью при круглосуточной работе, частом переключении кадров и т.п. Некоторые видеомониторы имеют встроенные устр-ва для приема сигналов от нескольких камер - видеокоммутаторы и квадраторы.

Мониторы бывают: Черно-белого изображения; Цветного изображения.

Основные хар-ки монитора:

-- Размер экрана по диагонали;

-- Разрешающая способность по горизонтали.

Видеокоммутаторы последовательного действия (свитчеры) - устр-ва, обеспечивающие последовательное переключение видеосигналов от нескольких камер на 1 или несколько выходов (мониторов). Свитчеры имеют автоматический (листающий) и ручной режимы, позволяющие просматривать сигналы от всех камер или выборочно от некоторых из них. Число входных видеоканалов - от 4-х до 16-ти. Но обычно используют коммутаторы на 4 или 8 входов, т.к. в сис-мах с большим числом камер лучше использовать более сложную аппаратуру, имеющую расширенные ф-ции и возможность программирования. В некоторых видеокоммутаторах сущ-ют входы для подключения датчиков охранной сигнализации, при срабатывании которых коммутатор автоматически переключает "тревожную" камеру на монитор.

Видеоквадраторы - цифровые устр-ва, обеспечивающие размещение изображений от 4-х источников на одном экране, кот. делится на 4 части (квадранты), и позволяющие уменьшать кол-во мониторов в сис-ме. Квадраторы высокого разрешения могут работать на одном мониторе с 8-ю камерами: они формируют 2 группы по 4 камеры и по очереди выводят их на экран.

Видеомультиплексоры - высокотехнолог-е сист. видеозаписи и управления, обладающие широкими функц-ными возм-ми и предназначенные для записи видеосигналов от неск. (до 16 камер) на одну видеокассету (с помощью кодирования), воспроизведения кодированной кассеты и обработки сигналов тревоги. Применение мультиплексоров в многокамерной ТСВ позволяет повысить эф-ть работы за счет вывода на 1 монитор изображений с нескольких камер.

В сист. ТСВ для видеозаписи и архивирования видеоизображений применяются:

- Специальные магнитофоны, Цифровые видеорегистраторы

Видеомагнитофоны могут работать в двух режимах: непрерывный (время записи 180 минут); прерывистый (время записи 24, 480 и 960 ч), записываются только определенные кадры.

Общие требования к системам охранного телевидения

1.Системы охранного ТВ должны обеспечивать передачу визуальной информации о состоянии охранных зон, помещений периметра и территории объекта в помещении охраны.

2.В состав системы согласно ГОСТ Р 51558-2000 входят:

А) обязательные устройства для всех систем: Телевизионная камера (ТК), видеомонитор, источник электропитания, в т.ч. резервный, линии связи.

Б) дополнительные устройства для конкретных систем охранного телевидения (СОТ): устройство управления и коммутации видеосигналов, обнаружитель движения, видеонакопитель

3. На объекте ТК следует оборудовать: А)периметр территории Б)КПП В) главный и служебный входы Г)помещения и коридоры, по которым производится перемещение денежных средств и материальных ценностей Д) помещения, в которых непосредственно сосредоточены материальные ценности, за исключением хранилищ ценностей Е) другие помещения по усмотрению руководства (собственника) объекта или по рекомендации сотрудника подразделения вневедомственной охраны.

4. В охране объектов должны использоваться системы черно-белого и цветного изображения. Установка той или иной системы зависит от необходимой информативности СОТ, характеристик охраняемого объекта (расположение на местности, освещенность и других признаков) и возможных целей (человек, автомобиль и других целей).

5. ТК, предназначенные для контроля территории объекта или ее периметра, должны размещаться в герметичных термокожухах, имеющих солнцезащитный козырек и должны быть ориентированы на местности под углом к линии горизонта (лучи восходящего и заходящего солнца не должны попадать в объектив ТК). Размещение ТК должно препятствовать их умышленному повреждению.

6. В темное время суток, если освещенность охраняемой зоны ниже чувствительности ТК, объект (зона объекта) должен оборудоваться охранным освещением видимого или инфракрасного диапазона. Зоны охранного освещения должны совпадать с зоной обзора ТК. При использовании Сот цветного изображения применение инфракрасного освещения недопустимо.

7. Для наблюдения с помощью одной ТК больших территорий объекта рекомендуется применять объективы с переменным фокусным расстоянием и поворотные устройства с дистанционным управлением.

8. В помещениях объекта следует использовать ТК с электронным затвором, укомплектованные объективом с ручной регулировкой диафрагмы. Вне помещения (на улице) следует укомплектовывать ТК объективом с автоматической регулировкой диафрагмы.

5.14. Виды охранных и пожарных извещателей. Способы повышения помехоустойчивости акустических, оптико-электронных и радиоволновых извещателей.

Система охранно-пожарной сигнализации представляет собой сложный комплекс технических средств, служащих для своевременного обнаружения возгорания и несанкционированного проникновения в охраняемую зону. Как правило, охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы безопасности и инженерные системы здания, обеспечивая достоверной адресной информацией системы оповещения, пожаротушения, дымоудаления, контроля доступа и др.

В зависимости от масштаба задач, которые решает ОПС, в ее состав входит оборудование трех основных категорий:

- Оборудование централизованного управления ОПС (например, центральный компьютер с установленным на нем ПО для управления ОПС; в небольших системах ОПС задачи централизованного управления выполняет охранно-пожарная панель);

- Оборудование сбора и обработки информации с извещателей ОПС: приборы приемно-контрольные охранно-пожарные (панели);

- Извещатели охранно-пожарной сигнализации.

Извещатель охранный - техн. ср-во охранной сигнализации для обнаружения проникновения (попытки проникновения) и формирования извещения о проникновении.

ШС - образует электр. цепь обеспечивающих связь извещателей и ПКП.

- Активные извещатели позволяют регистрировать объект обнаружения (злоумышленника) при его взаимодействии со спец. Создаваемым ср-вом охраны физическим полем.

- Пассивные извещатели позволяют регистрировать об-т обнаружения по его возд-ю на чувствительный эл-т извещателя.

Система автономной охраны. Здесь все задачи по охране решаются в рамках одной орг-ции. Автономная сис-ма, в которой все структурные эл-ты расположены в пределах орг-ции, имеет малое время реакции сил и ср-в нейтрализации угроз на действия злоумышленника или пожара. В ней также просто поддерживать работоспособность технических ср-в. Система автономной охраны состоит из комплексов ОС (ОПС) с выходом на оповещатели и/или др. ПКП, установленный в пункте автономной охраны.

Централизованная сис-ма охраны: подсис-мы нейтрализации угроз и управления общие для нескольких орг-ций. В централизованной сис-ме время реакции больше, особенно если охраняемая орг-ция удалена от пункта централизованной охраны. Но она имеет большие возможности по нейтрализации угроз в виде вооруженного нападения. Получение инф-ции происходит на пункте ЦО - диспетчерском пункте рассредоточенных объектов с использованием сис-мы передачи извещений, которая является совокупностью совместно действующих технических ср-в для передачи по каналам связи в пункт ЦО извещений о попытке проникновения на охраняемые объекты или пожаре, служебных и контрольно-диагностических извещений, а также для передачи и приема команд телеуправления.

Основное назначение ПКП - это прием инф. от охран. и пожарн. извещателей и передача этой инф. на пульт централизованного наблюдения, а также управление местными световыми и звуковыми оповещателями и индикаторами. Объекты подгрупп AI, AII и БII оборудуются многорубежной системой охранной сигнализации, объекты подгруппы БI - однорубежной.

Первым рубежом охранной сигнализации, в зависимости от вида предполагаемых угроз объекту, блокируют: перечислить различные ограждающие конструкции и т.д.

Вторым рубежом охранной сигнализации защищаются объемы помещений на "проникновение" с помощью объемных извещателей различного принципа действия.

Третьим рубежом охранной сигнализации в помещениях блокируются отдельные предметы, сейфы, металлические шкафы, в которых сосредоточены ценности

Минимально необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего охраняемого объекта должно быть, для подгруппы.

БI - один объединенный рубеж (первый - периметр);

AI, БII - два объединенных рубежа (первый - периметр и второй - объем).

Кроме того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые, оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.

Извещатель охранный - техническое средство охранной сигнализации для обнаружения проникновения (попытки) и формирования извещения о проникновении (попытки). Извещатель состоит из датчика, устр-ва обработки сигнала и принятия решения. По принципу работы подразделяются на: а) активные - ср-ва, позволяющие регистрировать объект обнаружения при его взаимодействии со специально создаваемым средством охраны физическим полем. б) пассивные - ср-ва позволяющие регистрировать объект обнаружения по его воздействию на чувствительный элемент извещателя.

Классификация извещателей. Общая классификация извещателей:

По физическому принципу действия извещатели бывают: электроконтактные, магнитоконтактные, удароконтактные, емкостные, индуктивные, ультразвуковые, микрофонные, сейсмические, вибрационные, давления, оптикоэлектронные (пассивные, активные), трибоэлектрические, радиоволновые, пьезоэлектрические, радиационные, ольфактонные (биолог.выделения)....

По виду охраняемой зоны: периметровые (для охраны периметра территории или зданий, помещений объекта); площадные (для охраны определенных участков площади охраняемого объекта); фрагментарные линейные (для охраны отдельных эл-тов периметра - окон, дверей, проемов); точечные (для охраны отдельно расположенного объекта); объемные (для охраны помещений по состоянию параметров их объема); поверхностные (пересекаются с площадными);

По способу электропитания извещатели подразделяются на: токонепотребляющие; питающиеся от шлейфа сигнализации; питающиеся от внутреннего автономного источника питания; питающиеся от внешнего источника постоянного тока напряжением 12-24 В; питающиеся от сети переменного тока напряжением 220 В.

Электроконтактные извещатели. Работают на принципе восприятия механических воздействий, создаваемых нарушителем, с дальнейшим преобразованием этих воздействий в изменение параметров в электрической цепи. Достоинство: определенность работы. Если через него протекает электрический ток, то это говорит о целостности цепи и нахождении извещателя в положении "замкнуто", и наоборот, когда цепь обесточена - положение "разомкнуто" - произошло нарушение защищаемого участка.

Магнитоконтактные извещатели. ИО 102-5 ИО 102-6 Их основа - это геркон - контакты, управляемые магнитным полем. Датчик (геркон), который состоит из герметичной колбы, в которую помещена пара пластин с контактами. К пластинам присоединены проводники, обеспечивающие подключение устр-ва. При воздействии магнитного поля, которое возникает при расположенном рядом магните, происходит размыкание или замыкание контактов; Пассивный Инфракрасный извещатель (ПИКИ).

Принцип действия ПИКИ основан на регистрации изменения во времени разности между интенсивностью ИК излучения и фонового теплового излучения.

Для того чтобы нарушитель был обнаружен ПИКИ необходимо:

1.Нарушитель должен пересечь в поперечном направлении луч зоны чувствительности извещателя.

2.Движение нарушителя должно происходить в определенном интервале скоростей.

3.Чувствительность извещателя должна быть достаточной для регистрации разницы температур поверхности тела нарушителя и фона.

ПИКИ состоят из трех элементов:

1.Опитическая система, которая формирует диаграмму направленности извещателя и определяет форму и вид пространственной зоны чувствительности.

2.Пироприемник регистрирует тепловое излучение человека.

3.Блок обработки сигналов.

Зона чувствительности. Зона чувствительности представляет собой набор лучей различной конфигурации расходящихся от извещателя по радиальным направлениям в одной или нескольких плоскостях. Зоны чувствительности извещателя могут иметь вид:

Нескольких узких лучей в вертикальной плоскости - лучевой барьер.

Одного широкого в вертикальной плоскости луча - сплошной занавес.

Несколько узких лучей в горизонтальной или наклонной плоскостях - поверхностная однополосная зона.

Несколько узких лучей в нескольких наклонных плоскостях - объемная многоярусная зона.

Активный инфракрасный извещатель (АИКИ).

Архитектура построения АИКИ делится на два вида: приемник и передатчик разнесены по месту положения; приемник и передатчик находятся в одном месте.

АИКИ может иметь от одного луча направленного поперек движения нарушителя до многолучевого барьера комбинаций из 3-х и более параллельных в вертикальной плоскости лучей.

АИКИ состоит из устройства излучающего и устройства приемного. Излучающее устройство вырабатывает импульсное ИК-излучение и формирует его в узкий пучок. Устройство приемное на одной оптической оси с излучающим устройством принимает ИК-излучение, детектирует его и обрабатывает полученный сигнал. Устройство излучающее состоит из модулятора излучателя и оптической системы. Под действием импульсов тока модулятор вырабатывается модулированное ИК-излучение. Оптическая система создает в направлении устройства принимающего узкий пучок ИК лучей - ось, которая и определяет линию блокирования. Устройство принимающее состоит из оптической системы фотодетектора, усилителя и исполняющего устройства. Оптическая систе6ма принимающего устройства фокусирует попадание ИК-излучения на приемник, который преобразует импульсы ИК излучения в импульсы тока.

Радиоволновой извещатель (РВИ).

РВИ излучает в контролируемую зону сигнал определенной частоты и анализирует принятый, сигнал отраженный от различных предметов в помещении и от нарушителя. Изменение частоты сигнала может быть вызвано не только движением нарушителя, но и различными источниками ложных тревог, к которым относятся различные движущиеся механизмы, люминисцентсные лампы, движение воды в пластиковых сосудах.

Кроме того радиоволновые извещатели обладают проникающей способностью через преграды, окна, стены, перегородки. В связи, с чем сигнал другой частоты может быть обусловлен движением за пределами контролируемой зоны.

В РВИ выделяют три поддиапазона: 1) 2.4 Гц 2) 10Гц 3) 24Гц.

Частота сигнала в РВИ определяет доплеровский сдвиг частот, от частоты зависят размеры используемой антенной системы и проникающая способность радиоволн.

Вибрационные. К вибрационным относятся извещатели, обнаруживающие злоумышленника по создаваемой им вибрации в грунте при движении, в легком заборе (типа сетки "рабица") при попытке преодоления его нарушителем, при открывании дверей, окон, люков и др. конструкций. Вибрационные извещатели отличаются от акустических инфразвуковым диапазоном воспринимаемых ими частот колебаний блокируемой поверхности. В зависимости от физической природы преобразования механического давления в электрический сигнал вибрационные извещатели бывают электретные, магнитные, волоконно-оптические, трибоэлектрические. Если датчики извещателя размещаются в грунте, то вибрационные извещаели называют также сейсмическими.

В вибрационных извещателях чувствительные элементы выполняются в виде отдельных (пьезо- и электромагнитных) датчиков, кабелей и шлангов с жидкостью. В электретных и трибоэлек-трических кабелях создается электрическое поле, в кабелях типа "Guardwire 400" -- магнитное поле, в световодах -- световой луч. Датчики укрепляются на защищаемой поверхности, кабели навешиваются на проволочные заборы, ими опутываются ручки дверей, люков, краны трубопроводов, шланги закапываются в грунт. В результате механических воздействий нарушителя на чувствительные элементы вибрационных извещателей в них возникают электрические сигналы (в электромагнитных, магнитных, пьезоэлектрических, трибоэлектрических, электретных) или изменяются характеристики светового сигнала.

5.15. Способы и средства нейтрализации угроз. Принципы нейтрализации угроз в автономных и централизованных системах охраны. Состав автоматизированного комплекса газового пожаротушения.

Нейтрализация действий злоумышленников и пожара в автономных системах охраны осуществляется сотрудниками службы безопасности и средствами, функционально объединяемую в подсистему устранения угроз. Она может включать:

- подразделение охраны;

- тревожную звуковую и световую сигнализацию;

- штатного или внештатного пожарника;

- средства пожаротушения;

- источники резервного (аварийного) электропитания.

Подразделение охраны, включающее в наиболее крупных и богатых организациях группу быстрого реагирования, составляют основу подсистемы нейтрализации угроз.

Тревожная сигнализация предназначена для психологического воздействия на скрытно проникающего в охраняемые зоны организации нарушителя с целью заставить его отказаться от намерения. В качестве средств сигнализации используются, обычно совместно, звуковые и световые оповещатели.

Для ликвидации пожара в любой организации в легко доступных местах размещаются традиционные средства пожаротушения: пенообразующие огнетушители, механические средства (багры, топоры) для разрушения очага пожара, бочки с песком, пожарные рукава и др Наряду с традиционными пенообразующими огнетушителями все шире применяются малогабаритные самосрабатывающие порошковые огнетушители. Тушение пожара с их помощью происходит без участия человека путем импульсного выброса огнетушащего порошка в зону возгорания.

Резервное или аварийное электропитание включается автоматически или дежурным при отключении по тем или иным причинам основного электропитания. Очевидно, что обеспечить резервное электропитание в полном объеме, особенно для крупных систем охраны, сложно и дорого. Поэтому на резервное электропитание переключают в основном средства управления, извещатели и аварийное освещение.

Увеличение средств автономной системы охраны и объектов централизованной системы усложняет управление ими. Для повышения эффективности управления в автономной системе создаются автоматизированные интегрированные системы охраны. Автоматизированные системы имеют иерархическую структуру и реализуются на базе адресных панелей, обслуживающих используемые датчики (охранные, охранно-пожарные, пожарные, считыватели электронных замков и др.) и исполнительные устройства (видеокамеры, оповещатели тревожной сигнализации, исполнительные механизмы замков, пиропатроны модулей газового пожаротушения и др.), а общее управление системой осуществляется одной или несколькими ЭВМ.

Повышение эффективности управления централизованными системами охраны обеспечивается автоматизацией процессов контроля и охраны (взятия под охрану и снятия с нее), обработки сигналов извещателей, регистрации состояния охраняемых объектов и принятых мер.

Перспективными средствами пожарной охраны являются автоматические системы пожаротушения. Современные системы автоматического газового пожаротушения обеспечивают тушение пожара путем заполнения помещения с очагом возгорания газом по сигналу "Пожар" от извещателей, установленных в этом помещении. Типовой комплекс содержит:
- модуль газового пожаротушения с баллонами газа объемом 40-100 л, запорно-пусковым устройством, манометром и пиропатроном, разметаемыми в специальном помещении (станции газового пожаротушения);
- пожарно-охранные и пожарные извещатели;
- приемно-контрольный пункт, к входным клеммам которого подключаются шлейфы от извещателей, а с выходных клемм снимаются сигналы управления подрывом пиропатрона, отключения вентиляции, включения табло оповещения сотрудников о подаче газа;
- газопроводы (трубы) от газовой станции к помещениям и газовые распылители в помещениях;
- кнопки ручного пуска и блокировки пуска.

5.16. Факторы, вызывающие утечку информации по цепям электропитания и заземления. Меры по предотвращению этой утечки.

Защита от утечки по цепям питания

Циркулирующая в тех или иных технических средствах конф инфа может попасть в цепи и сети электрического питания и через них выйти за пределы контролируемой зоны. Например, в линию электропитания высокая частота может передаваться за счет паразитных емкостей трансформаторов блоков питания. В качестве мер защиты широко используются методы развязки (разводки) цепей питания с помощью отдельных стабилизаторов, преобразователей, сетевых фильтров для отдельных средств или по-мещений. Возможно использование отдельных трансформаторных узлов для всего энергоснабжения объекта защиты, расположенного в пределах контролируемой территории. Это более надежное решение локализации данного канала утечки.

Одним из важных условий защиты информации от утечки по цепям заземления является правильное их оборудование.

Заземление - это устройство, состоящее из заземлителей проводников, соединяющих заземлители с электронными и электрическими установками, приборами, машинами. Заземлители могут быть любой формы - в виде трубы, стержня, полосы, листа и др. Заземлители выполняют защитную функцию и предназначаются для соединения с землей приборов защиты. Отношение потенциала заземлителя к стекающему с него току называется сопротивлением заземления. Величина заземления зависит от удельного сопротивления грунта и площади соприкосновения заземления с землей.

Магистрали заземления вне здания надо прокладывать на глубине около 1,5 м, а внутри здания - по стенам или спец каналам таким образом, чтобы их можно было внешне осматривать на целостность и на наличие контактного подключения.

Следует отметить, что использовать в качестве заземления металлические конструкции зданий и сооружений, имеющих соединения с землей (отопление, водоснабжение и др.), не рекомендуется.

5.17. Основные этапы и показатели проектирования системы инженерно-технической защиты информации. Принципы оценки показателей.

Проектирование системы защиты, обеспечивающей достижение поставленных перед инженерно-технической защитой информации целей и решение задач, проводится путем системного анализа существующей и разработки вариантов требуемой. Построение новой системы или ее модернизация предполагает:

-- определение источников защищаемой информации и описание факторов, влияющих на ее безопасность;

-- выявление и моделирование угроз безопасности информации;

-- определение слабых мест существующей системы защиты информации;

-- выбор рациональных мер предотвращения угроз;

-- сравнение вариантов по частным показателям и глобальному критерию, выбор одного или нескольких рациональных вариантов;

-- обоснование выбранных вариантов в докладной записке или в проекте для руководства организации;

-- доработка вариантов или проекта с учетом замечаний руководства.

Последовательность проектирования (модернизации) системы защиты включает три основных этапа:

-- моделирование объектов защиты;

-- моделирование угроз информации;

-- выбор мер защиты.

Задача моделирования объектов защиты состоит в объективном описании источников конфиденциальной информации в рамках существующей системы защиты.

Модель объектов защиты представляет собой набор чертежей, таблиц и комментарий к ним, содержащих следующие данные:

-- полный перечень источников защищаемой информации с оценкой ее цены;

-- описание характеристик, влияющих на защищенность содержащейся в них информации, мест размещения и нахождения ее источников;

-- описание потенциальных источников опасных сигналов в местах нахождения источников информации.

Моделирование угроз безопасности информации предусматривает выявление угроз и их анализ с целью оценки возможного ущерба в случае их реализации.

Разработка мер по защите информации проводится на основе на основе анализа объектов защиты и угроз информации, а также знаний и опыта соответствующих специалистов. Перечень типовых способов и средств защиты информации:

Угрозы и способы их реализации	Типовые способы и средства предотвращения угроз

Физический контакт злоумышленника с источником информации	Механические преграды,технические средства охраны, телевизионные средства наблюдения, дежурное и охранное освещение, силы и средства нейтрализации угроз
Пожар	Технические средства пожарной сигнализации, средства пожаротушения, огнестойкие хранилища и сейфы
Наблюдение	Маскировочное окрашивание, ложные объекты, радиолокационные отражатели, радио- и звукопоглощающие покрытия, теплоизолирующие материалы, генераторы помех
Подслушивание	Скремблирование и цифровое шифрование, звукоизолирующие конструкции, звукоизолирующие материалы, акустическое и вибрационное зашумление, обнаружение, изъятие и разрушение закладных устройств
Перехват	Выполнение требований по регламенту и дисциплине связи, отключение источников опасных сигналов, фильтрация и ограничение опасных сигналов, применение буферных устройств, экранирование, пространственное и линейное зашумление
Утечка информации по вещественному каналу	Учет и контролируемое уничтожение черновиков, макетов, брака, сбор и очистка от демаскирующих веществ- отходов

5.18. Мероприятия по выявлению каналов утечки информации. Специальные проверки. Цель и способы проведения.

Методы и порядок проведения работ по выявлению технических каналов утечки информации, как правило, регламентированы нормативно-методическими док-тами, в которых определен необходимый вид проведения исследований и работ.

В данных док-тах определен перечень видов исследований, охватывающий весь спектр работ по выявлению технических каналов утечки информации: специальные проверки;

-- специальные проверки (СП);

-- специальные обследования;

-- специальные исследования

Специальная проверка - это комплекс инженерно-технических мероприятий, проводимых с использованием необходимых, в том числе и специализированных технических средств, направленных на исключение перехвата технической разведкой информации, содержащей сведения, составляющие государственную тайну, с помощью внедренных в защищаемые технические средства и изделия специальных электронных закладочных устройств.

Специальные проверки технических средств и систем {ТСС) проводятся с целью:

- выявления возможно внедренных электронных средств съема информации в ТСС;

- выявления схемотехнических и иных доработок ТСС, приводящих к усилению естественных свойств ТСС;

- выявления "программных" закладок в ТСС, имеющих процессорное управление.

Проведение спец проверки по выявлению специальных устройств перехвата (уничтожения) информации в технических средствах осуществляется перед проведением специальных исследований и состоит из следующих этапов:

- формирование исходных данных для составления программы проведения спец проверки;

- разработка программы проведения спец проверки технического средства;

- проведение технических проверок;

- анализ результатов спец проверки, оформление отчетных док-тов.

Работы по спец проверкам ТСС лицензируются, регламентируются, контролируются и обеспечиваются нормативно-методическими док-тами Службой спец связи и информации при Федеральной службе охраны Российской Федерации.

Специальные обследования выделенных помещений (ВП) проводятся с целью выявления возможно внедренных электронных средств съема информации в ограждающих конструкциях, предметах мебели и интерьера.

Специальные исследования, включают в себя:

выявление внедренных закладок в защищаемом помещении;

выявление самотехнических и других доработок технических средств и систем (ТСС), приводящих к усилению естественных свойств ТСС;

выявление программных закладок, имеющих процессорное управление.

5.19. Мероприятия по выявлению каналов утечки информации. Специальные исследования в области защиты речевой информации, акустоэлектрических преобразований и ПЭМИН.

Специальные исследования технических средств - это выявление возможных каналов утечки информации за счет побочных электромагнитных наводок и излучений узлов и блоков исследуемых технических средств

Целью специальных исследований является оценка возможности применения технических средств для обработки информации, содержащей сведения составляющие ГТ и поиск оптимального варианта "закрытия" выявленных каналов утечки информации.

Звукоизоляция направлена на локализацию источников акустических сигналов в замкнутом пространстве внутри контролируемой зоны. Звукоизоляция оценивается величиной ослабления акустической волны. При падении акустической волны на границу поверхностей с различными удельными плотностями большая часть падающей волны отражается, меньшая часть волны проникает в материал звукоизолирующей конструкции. Распространяется в ней, теряя свою энергию в зависимости от длины пути и акустических свойств материала. Характер этих поглощений определяется соотношением частот падающей акустической волны и спектральных характеристик поверхности средства звукоизоляции.

R(ослабление) = 10lg(P_{падающей волны}/Р_{после прохождения препятствия})

Звукопоглощение обеспечивается путем преобразования в звукопоглощающем материале кинетической энергии акустической волны в тепловую энергию. Звукопоглощающие св-ва материалов оцениваются коэффициентом звукопоглощения, определяемым отношением энергии, поглощенной в материале звуковой волны, к звуковой энергии, падающей на поверхность материала.

Использование экранов - Реально достигаемая эффективность применения акустического экранирования, применяемого в комплексе со звукопоглощением составляет 8-10 дБ. Действие акустических экранов основано на отражении звуковых волн и образования за экраном области звуковой тени.

Кабины и кожухи -бывают каркасные (уровень изоляции 35-40дБ) и бескаркасные кабины (50-55дБ).

Активные способы защиты связаны с разрушением возможного канала утечки акустической информации за счет уменьшения соотношения в соответствующих полюсах Р_аис/ Р_ш в точке приема ТСР за счет увеличения Р_ш до уровня, обеспечивающего невозможность перехвата такого сигнала техническим средством разведки.

Наиболее часто используются следующие виды помех:

-- "белый шум" - с постоянной спектральной плотностью в речевом диапазоне частот;

-- "розовый шум" - со спадом спектральной плотности на 3Дб на октаву в сторону высоких частот;

-- "коричневый шум" - со спадом 6 Дб спектральной плотности

-- "речеподобная" помеха - шум с огибающей амплитудного спектра, подобной речевому сигналу.

Речевой помехой, обладающей повышенной стационарностью, являются используемые в практике акустических измерений фонограммы с речевым хором.

Создание искусственных акустических и виброакустических помех для защиты ограждающих конструкций выделенного помещения

Воздействие информационного акустического сигнала на различные ограждающие конструкции приводит к появлению вибрационных механических колебаний в этих конструкциях.

Прием информационных вибрационных сигналов происходит на фоне помех, имеющих естественное либо искусственное происхождение, либо суммарное.

Если естественные шумовые помехи не препятствуют приему информационного сигнала, то подобный опасный информационный сигнал может быть подавлен за счет создания на несущих конструкциях специальных подавляющих помех (шумоподобных и речеподобных сигналов). В этом случае мы получаем уменьшение соотношения Р^/Рц, за счет увеличения Р_ш.

При выборе типа датчика необходимо учитывать вид ограждающей конструкции.

Однако при разработке и совершенствовании ряда конструкций разработчики, проанализировав возможные варианты использования как пьезоэлектрических, так и электротехнических датчиков, пришли к выводу, что:

а) по пьезоэлектрическим датчикам - пьезоэлектрики обладают ярко выраженными резонансными свойствами (необходима достаточно сложная корректировка амплитудно-частотной характеристики (АЧХ) усилителей - масса подвижной системы при использовании пьезоэлектриков относительно мала,что снижает эффективность датчиков в области низких частот (менее 200 Гц):

-- пьезоэлектрические пластины имеют большой технологический разброс по АЧХ (особенно по частотам основных резонансов), что еще более усложняет коррекцию работающих на них усилителей;

-- невозможно создать пьезоэлектрический датчик с нужными параметрами за приемлемую цену на основе одной пластины.

б) по электромеханическим датчикам:

-- электромагнитные датчики обладают достаточно большой массой для эффективной работы с большими поверхностями; число собственных резонансов у электромагнитного датчика обычно меньше, чем у пьезоэлектрического, а их АЧХ имеет более гладкий вид, что упрощает коррекцию АЧХ усилителя; необходимые параметры электромагнитного датчика подобрать проще из-за его конструктивных и технологических особенностей; надежность электромеханических датчиков несколько ниже.

6.1. Простейшие шифры. Шифры с симметричным и асимметричным ключом. Понятие стойкости криптографического алгоритма.

Шифр - система преобразования текста с секретом для обеспечения секретности передаваемой информации.

Процесс засекречивания называется шифрованием. Наука о создании и использовании шифров - криптография.

Важным параметром является ключ.

Примером простейшего шифра является шифр простой замены. При шифровании заменой символы шифруемого текста заменяются символами того же или другого алфавита с заранее установленными правилами.

Примером такого шифра является Шифр Цезаря, в котором использовалось смещение на определённое количество букв. Число на которое происходит смещение является ключом.

Типы шифров:

-- Симметричные

-- Ассиметричные

Симметричные шифры - это способ шифрования в котором для шифрования и расшифрования применяется один и тот же ключ.

К Симметричным шифрам относятся:

-- Блочные шифры(шифруется сразу блок информации, выдавая шифротекст после получения всей информации)

-- Поточные шифры(шифрует информацию и выдаёт результат по мере её поступления)

Примером симметричного шифрования является простая перестановка. Текст записывается в таблицу в строки, а читается по столбцам

Ассиметричное шифрование - система шифрования в котором открытый ключ передаётся по открытому каналу и используется для шифрования сообщения. Для расшифрования используется закрытый ключ.

Понятие идеи и методов шифрования с открытым ключом, может послужить пример хранения паролей на ПК.

Под криптографической стойкостью алгоритма понимается способность алгоритма противостоять взлому. Если по время раскрытия превышает время актуальности ключа, то такой алгоритм можосчитать стойким.

6.2. Алгоритмы гаммирования, блочные шифры, ГОСТ 28147-89, DES.

Определение шифра. Некоторые виды шифров (шифр гаммирования, ГОСТ 28147-89, DES).

Пусть даны конечные множества Х, Y, К. Будем интерпретировать элементы Х как открытые сообщения, элементы Y как шифрованные тексты, элементы К - как ключи.

Определение 1. Отображение Т: Х в К ? Y называется шифром,

если для ? k ? К ? Т
(у, k) = х.

Шифр гаммирования (шифр Вернама, блокнотный шифр).

Пусть A={0,1,...,m-1} - фиксированный алфавит. Пусть X= Aⁿ - множество открытых текстов. Аналогично определяются и множества шифртекстов и ключей: K=Y=Aⁿ

Определим операцию зашифрования: T(x,k)=x+k, где сложение осуществляется покомпонентно в кольце вычетов Z/mZ, т.е. mod m. Существует и обратное отображение T^-1(y,k)=y+k, восстанавливающее открытый текст. Если длина гаммы (ключа шифрования) в этом шифре совпадает с длиной открытого текста и ключ выбирается из множества Y случайно и равновероятно, то построенный шифр является совершенно стойким (стойким в теоретико-информационном смысле, стойким по Шеннону), т.е. p(x/y)=p(x) p(x)p(y)=p(x,y)

DES Американский стандарт шифрования, известный под названием DES [Хоф., с.250]. Этот шифр реализует простую замену на алфавите из всех двоичных векторов длины 64 бита. Выбор подстановки осуществляется по ключу длиной 56 бит. Ключ преобразуется в 16 48-битовых комбинаций. Подстановки вычисляются для любого 64-битного вектора открытого текста путем реализации 16 циклов повторения одного преобразования. На вход i-го преобразования поступают два 32-битных (левый L 0x01 graphic

, правый - R 0x01 graphic

) вектора, полученных от предыдущего цикла или это входной вектор переставленный по перестановке IР, и разделенный пополам на две 32-битных части (левую L 0x01 graphic

и правую R 0x01 graphic

). Еще одним входом для i-го цикла преобразования является 48-битная комбинация ключа. Результатом i-го цикла преобразования является составленный из двух 32-битных частей (левой L 0x01 graphic

и правой R 0x01 graphic

) 64-битный вектор промежуточного шифртекста. Схема DES условно представлена на рисунке 1. На этой схеме ? - побитовое сложение двух 32-битных векторов по модулю 2, IР - перестановка бит, IР 0x01 graphic

- обратная к IР перестановка.

При любом данном k расшифрование DES отличается от зашифрования только тем, что регистры сдвигаются вправо в порядке, обратном зашифрованию. Начинается расшифрование с перестановки бит IР 0x01 graphic

, а заканчивается перестановкой IР. DES сыграл в США огромную роль при формировании системы электронных платежей. В настоящее время известно более 65 официальных производителей реализаций DES в виде программного обеспечения или микросхем.

6.3. Стандарты электронной цифровой подписи 3410, 3411.

Криптопротоколы. Стандарты ЭЦП ГОСТ 3410, ГОСТ 3411. Компрометация криптопротоколов. Примеры.

Криптопротоколы определяют взаимодействие (правила обмена информацией) удаленных пользователей компьютерной сети, использующих, как правило, для передачи сообщений открытые каналы связи.

Пользователи разделяются на легальных и нелегальных. Каждый легальный пользователь должен быть уверен, что получаемая им инфа поступила из достоверного источника в неискаженном виде. Нелегальный пользователь может наблюдать за каналом связи (пассивный противник) или вторгаться в информационный поток с целью изменить или подменить информацию в сообщении. Криптопротоколы можно разделить на 2 части: примитивные и прикладные.

Основные криптоалгоритмы:

-- протоколы подбрасывания монеты по телефону и игры в покер по телефону.

-- протоколы передачи секрета с забыванием.

Один из участников протокола, например, А обладает секретами (секр1, секр2, секр.3). Другой участник В желает один из секретов получить. При этом должно выполняться условие:

(1) Участник В сам решает какой секрет ему выбрать и участник А не должен помешать ему это сделать.

Кроме этого может выполняться одно из следующих условий:

(2) Участник А не должен знать какой именно секрет получил В.

(3)Участник В после выполнения протокола получает росно один секрет.

-- протоколы разделения секрета.

-- алгоритмы хэшифрования.

-- протоколы аутентификации и ЭЦП.

ГОСТ 3410.94.

Процедура выработки и проверки подписи ЭПЦ на базе ассиметрического криптоалгоритма.

Стандарт устанавливает процедуры выработки и проверки ЭЦП, сообщения передаются по каналам общего пользования в системах обработки информации различного назначения. Стандарт использует функцию хэширования (ГОСТ Р34.11-94). Применение схемы ЭЦП на основе стандарта ГОСТ Р34.10-94 обеспечивает защиту передачи сообщения от подделки, искажения и однозначно позволяет доказать подлинность подписи отправителя под сообщением.

Пусть р - простое число размера 509¤512 бит, q простое число такое, что q|(p-1). Число g<p-1 имеет мультипликативный порядок q, то есть g^q = 1(modp). p, q, g открыты. Число х, х <q, -секретный ключ, открытым ключом является у= g^x(modp). Алгоритм подписи [ГОСТ 94] сообщения М выглядит следующим образом.

-- 1. Выбирается случайное число k.

-- 2. Вычисляется

r = [g^k(modp)](modq).

3. Вычисляется

s = (Mk + xr)(mod q).

Подписью сообщения М является пара (r,s).

Проверка подписи осуществляется следующим образом. Вычисляются

v = М^q^-2(modq),

z₁ = (sv)(modq),

z₂ = ((q-r)v)(modq),

u = [(g^z¹ y^z²)(modp)](modq).

Если выполняется равенство u = r, то подпись подтверждена.

Алгоритм хэширования ГОСТ Р34.11-94.

Этот стандарт определяет процедуру вычисления хэш-функции для последовательности двоичных символов любой длины. Функция хэширования заключается в сопоставлении произвольного набора данных в виде последовательности двоичных символов и его образа фиксированной небольшой длины, что позволяет использовать эту функцию в процедурах ЭЦП для сокращения времени подписи, только под образом (хэш-значением) подписываемого набора данных.

Описание алгоритма ГОСТ Р34.11-94

Предварительные условия:

При реализации хэш алгоритма используется симметрический алгоритм ГОСТ 28147-89 в режиме простой замены.

Генерация ключей.

Обозначения

X=b_256...1 Є {0,1}²⁵⁶

X=X₄X₃X₂X₁ = ?₁₆?₁₅?_14...?_{1 =}?₃₂?_31...?₁, \X_i\ = 64, \?_i\=16, \?_i\=8

-- Элементарные функции.

А(Х)=А(X₄X₃X₂X₁)= X'₁X₄X₃X_2,X'₁= X₁+X_2.

Пусть ? Є S₃₂подстановка циклическая, запись которой имеет вид:

? = (1) (2 9 3 17 5)(4 25 7 18 13)(6 10 11 19 21)(8 26 15 20 29)

(12 27 23 22 14) (16 18 31 14 30) (32).

Эту подстановку можно задать следующим образом:

?(i+1+4(k-1)) = 8i+k, i=0,3, k=1,8

Функция Р переставляет байты блока Х:

Р(Х)=Р(?₃₂?_31...?₁)= ?_?(32)?_?(31)...?_?(1)

-- Начальные константы

С₂=С₄=0²⁵⁶, С₃=1⁸0⁸1¹⁶0²⁴1¹⁶0⁸(0⁸1⁸)²1⁸0⁸(0⁸1⁸)⁴(1⁸0⁸)⁴

1.3. Процедура вычисления ключей k_1,k₂,k_3,k₄

U₁=H, H- текущее значение хэш-функции, V₁=M, где М - текущий блок исходного сообщения. /М/=256.

W₁ = U₁+V₁, k₁=P(w),

U_i=A(U_i-1)+C₁, V_i=A²(V_i-1)

w_i=U+V, k_i=p(w_i), i=2,3,4.

2. Процедура шифрования

Y=E_k(X) - алгоритм ГОСТ в режиме простой замены

H=H₄H₃H₂H_1,|H_i| = 64, k=k₄k₃k₂k_1.

S = E_k(H) = E_k4(H₄) E_k3(H₃) E_k2(H₂) E_k1(H₁).

-- Процедура перемешивания или шаговая функция усложнения

Пусть ?(?₁₆?₁₅?_14...?₁) = ?'₁₆ ?₁₆?₁₅?_14...?_2,_где?₁₆= ?₁+ ?₂+ ?₃+ ?₁₃+ ?₁₆

Вход: М - текущий блок сообщения, Н- текущее значение хэш функции и S- величина, вычисленная в п.3

?(M,H) = ?¹⁶(H+?(M+?¹²(S))).

Замечание 1. вычислению значения шаговой функции предшествует п.2 и 3

-- Алгоритм вычисления хэш значения

Вход М? - исходное сообщение

Алгоритм последовательно обрабатывает блоки исходного сообщения длиной 256 бит. Последний блок при необходимости дополняется нулями.

-- Начальные значения параметров.

Н - начальное значение хэш-функции - любая двоичная последовательность длины 256;

? = 0²⁵⁶ - начальное значение контрольной суммы;

L = 0²⁵⁶ - начальное значение длины сообщения.

4.2 Проверка длины остатка сообщения, не прошедшего процедуры хеширования.

Если |М?|=256, то переходим к пункту 4.5.

В противном случае выполняем следующие вычисления.

4.3. Выделяем очередную "порцию" сообщения длиной 256.

М?=M М?₁, |M|=256, | М?₁|™1

И проводим вычисления

H₁= ?(M,H)- промежуточное хэш-значение;

L₁=<L+256>₂₅₆ - длина части сообщения, прошедшей процедуру хэширования;

?₁=< ? + M₁>₂₅₆ Промежуточное значение контрольной суммы;

М? =М?₁Переименование части сообщений не прошедшей процедуры хэширования.

4.4. Переименование текущих переменных алгоритма хэширования.-

L=L₁, ? =?_{1 ,}H=H₁ и переход к пункту 4.2.

4.5. Вычисляем хэш-значение исходного сообщения.

Полагаем М? =М₁? и вычисляем:

А. L₁=<L+M₁>₂₅₆ - длину исходного сообщения;

Б. M₁ = 0^256-|M?|М? - последний блок, дополненный до стандартной длины;

В. ?₁=< ? + M₁>- значение итоговой контрольной суммы;

Г. H₁= ?(M₁,H), H₂= ?(L₁,H₁), H₃= ?(?₁,H₂) H=H₃

Выход h(М?) = H - результат процедуры хэширования исходного сообщения М?.

6.4. Системы с открытым ключом. Алгоритм RSA. Инфраструктура систем с открытым ключом PKI.

Системы с открытым ключом (RSA, Диффи и Хэллмана). Атаки на системы с открытым ключом.

Рассмотрим пару (X,Y) - множество открытых текстов и множество шифртекстов соответственно. Рассмотрим также пару преобразований (E,D), где E - шифрующее преобразование, а D - дешифрующее. Эти преобразования являются сопряженными, сопряженность которых состоит в том, что:

для любых x из X: D(E(x)) = x.

Таким образом, E является односторонней функцией, в которой роль секрета играет d из K (K - есть ключевое пространство). Если ключ e из K(открытый ключ) свободно распространяется, а ключ d из K (секретный ключ) держится в секрете, то полученная криптосистема называется криптосистемой с открытым ключом (асимметричной криптосистемой). Чтобы асимметричная криптосистема была безопасна, необходимо выполнение следующих условий:

-- Каждая пара таких преобразований (E,D) обладает тем свойством, что при наличии E и произвольного шифртекста "y" вычислительно сложно найти соответствующий открытый текст "x".

-- Зная E, вычислительно сложно восстановить D.

Схема RSA

Криптосистема RSA названа по именам ее создателей R. Rivest, A. Shamir, L. Adleman. Она является наиболее широко применяемой асимметричной криптосистемой. Она может быть использована как для шифрования, так и для цифровой подписи.

Для генерации ключей

-- Выбираются p и q - большие простые числа. (секретные)

-- Вычисляется модуль n = pq и функция Эйлера ?(n) = (p-1)(q-1). (открытый)

e - это открытый ключ, а d - секретный. Если 0 © x < n - открытое сообщение, то шифрсообщение получается следующим образом:

C = x^e (mod n)

Открытое сообщение из шифртекста получается следующим образом:

C^d(mod n) = (x^e)^d(mod n) = x

d,p,q-secret, n,e-открытые

Схема Диффи и Хеллмана

Система Диффи и Хеллмана реализует протокол открытого распределения ключей. Предположим, что обоим абонентам известны некоторые два числа g и p (например, они могут быть "зашиты" в программное обеспечение), которые не являются секретными и могут быть известны также другим заинтересованным лицам. Для того, чтобы создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: первый абонент -- число a, второй абонент -- число b. Затем первый абонент вычисляет значение A = g^amod p и пересылает его второму, а второй вычисляет B = g^bmod p и передаёт первому. Предполагается, что злоумышленник может получить оба этих значения, но не модифицировать их (то есть у него нет возможности вмешаться в процесс передачи). На втором этапе первый абонент на основе имеющегося у него a и полученного по сети B вычисляет значение B^amod p = g^abmod p, а второй абонент на основе имеющегося у него b и полученного по сети A вычисляет значение A^bmod p = g^abmod p. Как нетрудно видеть, у обоих абонентов получилось одно и то же число: K = g^abmod p. Его они и могут использовать в качестве секретного ключа, поскольку здесь злоумышленник встретится с практически неразрешимой (за разумное время) проблемой вычисления g^abmod p по перехваченным g^amod p и g^bmod p, если числа p,a,b выбраны достаточно большими.

При работе алгоритма, каждая сторона:

-- генерирует случайное натуральное число a -- закрытый ключ

-- совместно с удалённой стороной устанавливает открытые параметры p и g (обычно значения p и g генерируются на одной стороне и передаются другой), где

p является случайным простым числом

g является первообразным корнем по модулю p

-- вычисляет открытый ключ A, используя преобразование над закрытым ключом

A = g^a mod p

-- обменивается открытыми ключами с удалённой стороной

-- вычисляет общий секретный ключ K, используя открытый ключ удаленной стороны B и свой закрытый ключ a

K = B^a mod p

К получается равным с обеих сторон, потому что:

B^a mod p = (g^b mod p)^a mod p = g^ab mod p = (g^a mod p)^b mod p = A^b mod p

В практических реализациях, для a и b используются числа порядка 10¹⁰⁰ и p порядка 10³⁰⁰. Число g не обязано быть большим и обычно имеет значение в пределах первого десятка.

Криптографическая стойкость

Криптографическая стойкость алгоритма Диффи -- Хеллмана (то есть сложность вычисления K=g^ab mod p по известным p, g, A=g^a mod p и B=g^b mod p), основана на предполагаемой сложности проблемы дискретного логарифмирования. Однако, хотя умение решать проблему дискретного логарифмирования позволит взломать алгоритм Диффи -- Хеллмана, обратное утверждение до сих является открытым вопросом (другими словами, эквивалентность этих проблем не доказана).

Необходимо отметить, что алгоритм Диффи -- Хеллмана работает только на линиях связи, надёжно защищённых от модификации. Если бы он был применим на любых открытых каналах, то давно снял бы проблему распространения ключей и, возможно, заменил собой всю асимметричную криптографию. Однако, в тех случаях, когда в канале возможна модификация данных, появляется возможность атаки человек посередине. Атакующий заменяет сообщения переговоров о ключе на свои собственные и таким образом получает два ключа -- свой для каждого из законных участников протокола. Далее он может перешифровывать переписку между участниками, своим ключом для каждого, и таким образом ознакомиться с их сообщениями, оставаясь незамеченным.

6.5. Разграничение доступа в операционных системах.

Правила разграничения доступа (ПРД), действующие в ОС, устанавливаются администраторами системы при определении политики безопасности.

Разграничение Доступа должны удовлетворять следующим требованиям:

- Правила Разграничения Доступа не должны допускать субъектов доступа, не обладающих соответствующими привилегиями, они могут несанкционированно изменить, удалить объекты, жизненно важные для обеспечения нормального функционирования ОС;

- любой объект доступа должен иметь владельца;

- присутствие объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, недопустимо;

- утечка конфиденциальной информации недопустима.

Рассмотрим наиболее типичные модели разграничения доступа.

В MS Windows используется избирательное(дискреционное) разграничение доступа.

• для любого объекта ОС существует владелец;

• владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту;

• существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.

Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используется матрица доступа. Строки этой матрицы представляют собой объекты, столбцы - субъекты. В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект. Права: чтение, запись, выполнение

	User1	User2	User3	User 4
Файл 1	r	-
Файл 2	-	rw
Файл3	-	-
Файл 4	-	-

В unix также существует система разграничения доступа пользователей к директориям (каталогам, папкам) и файлам. Пользователи по отношению к директории или файлу могут быть: владелец, группа, остальные. Права: чтение, запись, выполнение.

обозначают либо буквами rwxrwxrwx, либо цифрами. Отсутствующее право обозначают минусом (прочерком) для буквенного обозначения или же нулевым битом для цифрового. Первая тирада - права владельца, вторая - группы, третья - остальных.

Пример:

rwxrwxrwx или 777 - (111 111 111) - всем все разрешено.

6.6. Штатные средства идентификации/ аутентификации в операционных системах.

Разграничение доступа в операционных системах. Штатные средства идентификации/аутентификации в операционных системах.

В unix существует существует система разграничения доступа пользователей к директориям (каталогам, папкам) и файлам. Пользователи по отношению к директории или файлу могут быть: владелец, группа, остальные. Права: чтение, запись, выполнение. Для директорий выполнение означает возможность поиска файла в директории, то есть возможность открыть файл по указанному пути (path). Права обозначают либо буквами rwxrwxrwx, либо цифрами (восьмеричными триадами). Отсутствующее право обозначают минусом (прочерком) для буквенного обозначения или же нулевым битом для цифрового. Первая тирада - права владельца, вторая - группы, третья - остальных.

Наиболее часто встречаются:

для файлов:

rw-r--r-- или 644 - (110 100 100) - все могут читать файл, а владелец может еще и писать в файл.

rw-rw-rw- или 666 - (110 110 110) - все могут и читать, и писать.

для директорий:

rwxr-xr-x или 755 - (111 101 101) - все могут читать директорию и находить в ней файлы, владелец может создавать новые и удалять существующие файлы в директории.

rwxrwxrwx или 777 - (111 111 111) - всем все разрешено.

Этапы идентификации и аутентификации пользователя, реализуемые ОС Windows

Этапы идентификации и аутентификации пользователя, реализуемые в системе (на примере ОС Windows), представлены на рис. 1.

Первый шаг идентификации, поддерживаемый режимом аутентификации, реализуется при входе пользователя в систему. Здесь следует выделить возможность входа в штатном и в безопасном режиме (Safe Mode). В порядке замечания отметим, что принципиальным отличием безопасного режима является то, что при запуске системы в безопасном режиме можно отключить загрузку сторонних по отношению к системе драйверов и приложений. Поэтому, если в системе используется добавочная СЗИ от НСД, можно попытаться загрузить систему в безопасном режиме без компонент СЗИ от НСД, т.е. без средства защиты. С учетом же того, что загрузить систему в безопасном режиме может любой пользователь (в Unix системах - только Root), то СЗИ от НСД должна обеспечивать возможность входа в систему в безопасном режиме (после идентификации и аутентификации) только под учетной записью администратора.

Второй шаг состоит в запуске пользователем процессов, которые уже, в свою очередь, порождают потоки (именно потоки в общем случае и осуществляют обращение к ресурсам). Все работающие в системе процессы и потоки выполняются в контексте защиты того пользователя, от имени которого они так или иначе были запущены. Для идентификации контекста защиты процесса или потока используется объект, называемый маркером доступа (access token). В контекст защиты входит инфа, описывающая привилегии, учетные записи и группы, сопоставленные с процессом и потоком. При регистрации пользователя (первый шаг, см. рис. 1) в системе создается начальный маркер, представляющий пользователя, который входит в систему, и сопоставляющий его с процессом оболочки, применяемой для регистрации пользователя. Все программы, запускаемые пользователем, наследуют копию этого маркера. Механизмы защиты в Windows используют маркер, определяя набор действий, разрешенных потоку или процессу.

Рис.1. Этапы идентификации и аутентификации пользователя

В общем случае пользователь имеет возможность запуска процесса как с собственными правами, так и под учетной записью другого пользователя. Запуск пользователем процесса под другой учетной записью возможен только после выполнения процедуры аутентификации - пользователь должен ввести идентификатор и пароль, соответствующие той учетной записи, под которой им будет запущен процесс (например, подобную возможность в ОС Windows предоставляет утилита runas.exe, но, начиная с ОС Windows XP, эта функция уже вынесена в проводник - ее можно реализовать, нажав правой кнопкой мыши на выбранном в проводнике исполняемом файле).

В порядке замечания отметим следующее. С одной стороны, это очень полезная опция, которая может быть использована в корпоративных приложениях, когда на одном компьютере требуется обрабатывать конф и открытые данные. При этом предполагается, что для обработки данных различных категорий создаются различные учетные записи. Данная опция предполагает, что одновременно (без перезагрузки) можно обрабатывать данные различных категорий, например, под одной учетной записью обрабатывать необходимым приложением конф данные, под другой учетной записью запустить Internet-приложение (у Вас на мониторе может быть открыто одновременно два окна). Естественно, что реализация данной возможности выставляет и дополнительные требования к СЗИ от НСД (например, при подобном запуске приложения ОС Windows между пользователями не изолируется буфер обмена, который в ОС является "принадлежностью" рабочего стола).

Однако важнейшей особенностью рассматриваемого способа запуска процесса является то, что при этом система начинает функционировать в многопользовательском режиме - в системе одновременно зарегистрировано несколько пользователей. Как следствие, может возникнуть проблема однозначной идентификации пользователя при доступе к ресурсу, что характерно для решения задачи реализации разграничительной политики доступа к устройствам (об этом - ниже).

Третий шаг состоит в порождении процессом потоков, которые собственно и обращаются к ресурсам. Система предоставляет разработчикам приложений сервисы олицетворения. Сервис олицетворения (impersonation) предоставляет возможность отдельному потоку выполняться в контексте защиты, отличном от контекста защиты процесса, его запустившего, т.е. запросить олицетворить себя с правами другого пользователя, в результате - действовать от лица другого пользователя. Как следствие, именно на этом этапе и возникают вопросы корректности идентификации и аутентификации пользователя при запросе доступа к ресурсам, а задача идентификации и аутентификации пользователей при запросах на доступ сводится к контролю корректности олицетворения.

В порядке замечания отметим, что аналогичная ситуация имеет место и в ОС семейства Unix, где существуют понятия идентификатора и эффективного идентификатора (под которым собственно и осуществляется запрос доступа к ресурсам).

Вывод. Требование "КСЗ должен обеспечивать идентификацию пользователей при запросах на доступ..." актуально и должно реализовываться современными СЗИ от НСД. При этом задача защиты при выполнении этого требования сводится к контролю корректности олицетворения при запросах доступа к ресурсам, т.к. именно использование сервиса олицетворения может привести к неконтролируемой смене исходного идентификатора.

6.7. Межсетевые экраны.

МЭ занимают важное место в комплексе средств обеспечения безопасности корпоративной сети. Согласно РД ГТК: МЭ называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в АС и/или выходящей из нее, и обеспечивает защиту АС посредством фильтрации информации, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) АС.

На практике, МЭ - это специализированное программное или аппаратное обеспечение, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую. Чаще всего основным назначением МЭ является воплощение политики безопасности, принятой в организации в вопросах обмена информацией с внешним миром.

Как было указано выше, МЭ как средство обеспечения безопасности, реализует следующие механизмы защиты:

-- трансляция адресов для сокрытия структуры и адресации внутренней сети;

-- фильтрация проходящего трафика;

-- управление списками доступа на маршрутизаторах;

-- дополнительная идентификация и аутентификация пользователей стандартных служб;

-- ревизия содержимого информационных пакетов, выявление и нейтрализация компьютерных вирусов;

-- виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы);

-- противодействие некоторым видам атак на внутренние ресурсы.

Классификация МСЭ

Основным критерием классификации МЭ является поддерживаемый ими уровень сетевой модели OSI. Однако такая классификация носит достаточно условный характер по следующим причинам:

-- модель OSI имеет 7 уровней, в то время как стек TCP/IP предусматривает только 4 уровня.

-- большинство выпускаемых МЭ обеспечивают работу сразу на нескольких уровнях иерархии OSI.

Тем не менее, в соответствии с этим вариантом классификации различают следующие типы МЭ:

-- пакетные фильтры;

-- шлюзы уровня соединения (circuit-level gateway);

-- шлюзы прикладного уровня (application-level gateway).

Последние два типа МЭ используют технологию "Proxy", согласно которой между двумя взаимодействующими узлами имеется "посредник". Альтернативным вариантом является технология Stateful Inspection, впервые предложенная компанией Check Point.

Пакетные фильтры

Процесс фильтрации пакетов основан на проверке содержимого их заголовков.

Пакетные фильтры осуществляют анализ информации сетевого и транспортного уровней модели OSI. Это сетевые адреса (например, IP) отправителя и получателя пакета, а также (необязательно) номера портов отправителя и получателя пакета.

Шлюзы уровня соединения

Работа шлюзов уровня соединения основана главным образом на номерах портов, т.е на типе трафика.

Этот и следующий тип МЭ основан на использовании так называемого принципа посредничества, т. е. запрос принимается МЭ, анализируется и только потом перенаправляется реальному серверу. Прежде чем разрешить установление соединения TCP между компьютерами внутренней и внешней сети, посредники уровня соединения сначала как минимум регистрируют клиента.

Шлюзы прикладного уровня

Шлюзы прикладного уровня (application-level proxy), часто называемые proxy-серверами, контролируют и фильтруют информацию на прикладном уровне модели OSI. Они различаются по поддерживаемым протоколам прикладного уровня. Наиболее часто поддерживаются службы Web (HTTP), FTP, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Когда клиент внутренней сети обращается, например, к серверу Web, то его запрос попадает к посреднику Web (или перехватывается им).

Технологии Proxy и Stateful inspection

В рассмотренных выше типах МЭ, предполагающих посредничество при установлении соединения (шлюзах уровня соединения и прикладного) реализована так называемая технология Proxy. Эта технология широко распространена и применяется в таких известных моделях МЭ, как Microsoft Proxy Server и CyberGuard Firewall.

Однако для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать, сделать запись об этом в журнале), МЭ должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой семиуровневой модели и из других приложений.

Недостаточно только лишь просматривать отдельные пакеты. Инфа о состоянии, извлеченная из имевших место ранее соединений и других приложений, используется для принятия окончательного решения о текущей попытке установления соединения. В зависимости от типа проверяемого пакета, для принятия решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.

Кроме того, МЭ должен уметь выполнять действия над передаваемой информацией в зависимости от всех вышеизложенных факторов.

Stateful Inspection - технология нового поколения, удовлетворяет всем требованиям к безопасности, приведенным выше. Технология инспекции пакетов с учетом состояния протокола на сегодня является наиболее передовым методом контроля трафика (она разработана и запатентована компанией Check Point Software Technologies).

Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного процесса-посредника (proxy) для каждого защищаемого протокола или сетевой службы. В результате достигаются высокие показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды.

Основываясь на технологии инспекции пакетов с учетом состояния протокола, МЭ обеспечивает наивысший уровень безопасности.

6.8. Требования руководящих док-тов ФСТЭК (Гостехокомиссии).

Основными РД Гостехкомиссии России в области защиты информации от НСД явл-ся:

Защита от НСД к информации. Термины и определения. (1992)

РД устан-т термины и опр-ния понятий в области защиты СВТ и АС от НСД к инф-ции. Уст-ные термины обяз-ны для применения во всех видах док-ции. Для справок приведены иностранные эквиваленты русских терминов на английском языке, а также алфавитные указатели терминов на русском и английском языках.

Концепция защиты СВТ и АС от НСД к информации. (1992)

РД излагает систему взглядов, основных принципов, которые заклад-ся в основу проблемы ЗИ от НСД.

Защита СВТ и защита АС от НСД - два самост-ных направления, т.к. СВТ - эл-ты, из которых строятся АС, не содержат польз-кой инф-ции и не направ-ны на решение прикладных задач, в АС сод-ся польз-кая инф-ция, появл-ся хар-ки: полномочия польз-лей, модель нарушителя, технология обработки инф-ции.

В РД привод-ся опред-ние НСД (доступ к инф-ции, нарушающий устан-ные правила разграничения доступа, с использ-м штатных средств, предост-мых СВТ или АС), основные методол-кие принципы защиты от НСД, модель нарушителя в АС (нарушители - субъекты, имеющие доступ к работе со штат-ми сред-ми АС и СВТ, классиф-ся по уровню возможностей: 1(сам. низкий)-запуск программ из фиксир-ного набора; 2-возм-ть создания и запуска собств-х программ; 3-возм-ть управления функц-м АС; 4-весь объём возм-тей лиц, осущ-х проект-ние, реал-цию и ремонт техн-х средств АС, вплоть до включения в состав СВТ собственных техн-х средств с новыми функциями), основные способы НСД:

-- непоср-ное обращение к объектам доступа;

-- создание прог-х и техн-х средств, выпол-щих обращение к объектам доступа в обход средств защиты;

-- модификация средств защиты, позволяющая осуществить НСД;

-- внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

Основные направления обеспечения защиты от НСД: Защита СВТ и АС осущ-ся:

-- системой разграничения доступа (СРД) субъектов(C) к объектам(О) доступа;

-- обеспечивающими средствами для СРД.

Ф-ции СРД: • реал-ция правил разгр-ния доступа С и их проц-сов к данным, • устройствам создания твёрдых копий, • изоляция процессов С от проц-в других С, • управление потоками данных, • реал-ция правил обмена данными между С сетевых АС и СВТ.

Ф-ции обеспеч-х средств: • иден-ция/аутен-ция, • регистрация действий С и его проц-в, • админ-ние, • реакция на попытки НСД, • тестирование; • очистка ОП и рабочих обл-тей на магн-х носителях после оконч-ния работы польз-ля с защ-ми даными, • учёт твёрдых копий, • контроль цел-ти програм-ной и инф-ной части СРД и обесп-х её средств.

Способы реал-ции СРД: • распред-ная СРД и СРД, локал-ная в программно-техническом комплексе (ядро защиты); • СРД в рамках ОС, СУБД или прикладных прог-м; • СРД в ср-вах реализации сетевых взаимодействий или на уровне приложений; • криптограф-кие преобр-ния или методы контроля доступа; • прогр-ная и (или) тех-кая реал-ция СРД.

Основные хар-ки тех. ср-в защиты от НСД:

-- степень полноты и качество охвата ПРД реализованной СРД;

-- состав и качество обеспечивающих средств для СРД;

-- гарантии правильности функционирования СРД и обеспечивающих ее средств.

Классификация необходима для более детальной, диф-ной разработки требований по защите от НСД с учетом специфических особенностей систем (средств); организация работ по защите от НСД (заказчик предост-т либо желаемый уров-нь защ-ти, либо перечень треб-ний, разраб-к - комплекс средств защиты, далее - испытания на соотв-вие треб-м, по рез-там выд-ся сертификат).

АС. Защита от НСД к информации. Классификация АС и требования по ЗИ (1992)

Этот руководящий док-т устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

Устан-ся 9 классов защищ-ти АС от НСД. Каждый класс хар-ся опр-ной минимальной совок-тью требований по защите. Классы подразд-ся на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия классов защищенности АС в зависимости от ценности (конф-ти) инф-ции.

Третья группа -АС, в которых работает один польз-ль, допущенный ко всей инф-ции АС (инф-ция одного уровня конф-ти): 3Б и 3А.

Вторая группа - многопольз-кие АС, все польз-ли имеют одинаковые права доступа ко всей инф-ции АС (инф-ция различного уровня конф-ти): 2Б и 2А.

Первая группа - многопольз-кие АС, все польз-ли имеют право доступа ко всей инф-ции (инф-ция различного уровня конф-ти): 1Д, 1Г, 1В, 1Б и 1А.

Система ЗИ АС от НСД условно состоит из 4 подсистем: • управления доступом; • регистрации и учета; • криптографическая подсистема; • обеспечения целостности. Требования усиливаются от класса 3Б до 1А.

Причём класс 1Г характер-ся дискреционной ПРД, классы 1В,1Б, 1А наряду с дискреционной ПРД исп-т мандатную ПРД (метки конф-ти), для класса 1А пред-на идентиф-ция и аут-ция при входе в систему по биом-ким хар-кам или спец-м устр-вам (жетонам, картам, эл-ным ключам) и паролю, целостность не по контрольным суммам (как в других классах), а по имитовставкам алг-ма ГОСТ 28147-89.

При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицир. СВТ: не ниже 4 класса - для АС 1В; не ниже 3 кл - для АС 1Б; не ниже 2 кл - для АС 1А.

СВТ. Защита от НСД к информации. Показ-ли защ-ти от НСД к информации. (1992)

СВТ - совокупность программных и технических эл-тов системы обраб-ки данных, способных функц-ть самост-но или в составе других систем. Устан-ся 7 классов защ-ти СВТ от НСД: самый низкий - 7, самый высокий - 1.

Классы подразд-ся на 4 группы:

Первая группа сод-т 7 класс.

Вторая группа хар-ся дискреционной защитой и сод-т 6 и 5 классы.

Третья группа хар-ся мандатной защитой и сод-т 4, 3 и 2 классы.

Четвёртая группа хар-ся верифицированной защитой и сод-т только 1 класс.

7 класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищ-сть СВТ оказалась ниже уровня требований 6 класса.

СВТ. Межсетевые экраны. Защита от НСД к инф-ции. Показ-ли защ-ти от НСД к инф-ции. (1997)

МЭ предст-т собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Устанавливается пять классов защищенности МЭ: 5 (самый низкий) - для АС 1Д, 4 - для АС 1Г, 3 - для АС 1В, 2 - для АС 1Б, 1 - для АС 1А.

Для АС 3Б, 2Б д. прим-ся МЭ не ниже 5 класса.

Для АС 3А, 2А в завис-ти от важности обраб-мой инф-ции д. применяться МЭ следующих классов:

-- при обработке информации с грифом "секретно" - не ниже 3 класса;

-- при обработке информации с грифом "совершенно секретно" - не ниже 2 класса;

-- при обработке информации с грифом "особой важности" - не ниже 1 класса.

Каждый класс хар-ся опред-ной минимальной совокупностью требований по ЗИ.

Защита от НСД к инф-ции. Часть1. Программное обеспечение средств ЗИ. Классификация по уровню НДВ (1999)

Данный РД содержит классификацию ПО СЗИ по уровню контроля отсутствия в нем недекларированных возможностей.

Для ПО СЗИ (не криптогр-х) РД уст-т четыре четыре уровня контроля отсутствия НДВ: 4 - для конф. инф-ции, 3 - ГТ (С), 2 - ГТ (СС), 1 - ГТ (ОВ).

РД содержит требования к каждому уровню контроля отсутствия НДВ. Эти требования усиливаются от 4 к 1 уровню.

Также существуют и другие РД Гостехкомиссии, описывающие процесс написания и регистрации профилей защиты и заданий по безопасности или описывающие требования к каким-то конеретные СВТ, например, контрольно-кассовые машины.

СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К) 2002г.

Настоящий док-т устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений составляющий ГТ (далее - конф инфа), на территории РФ

Требования и рекомендации настоящего док-та распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

При проведении работ по защите негосударственных информационных ресурсов, составляющих КТ, банковскую тайну и т.д., данный док-т носит рекомендательный характер.

Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

. Док-т определяет следующие основные вопросы защиты конфиденциальной информации:

организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной док-тации по защите информации;

требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;

требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

порядок обеспечения защиты информации при эксплуатации объектов информатизации;

особенности защиты информации при разработке и эксплуатации АС, использующих различные типы СВТ и информационные технологии;

порядок обеспечения защиты информации при взаимодействии абонентов с Сетями.

Защите подлежит речевая инфа и инфа, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитооптической и иной основе.

Объектами защиты при этом являются:

средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования док-тов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

защищаемые помещения.

При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

акустическое излучение информативного речевого сигнала;

электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

несанкционированный доступ к обрабатываемой в АС информации и несанкционированные действия с ней;

воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;

побочные электромагнитные излучения информативных сигналов от технических средств, линий передачи информации;

наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации ("закладочные устройства"), модулированные информативным сигналом;

радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

прослушивание телефонных и радиопереговоров;

хищение технических средств с хранящейся в них информацией или носителей информации.

2.10. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

из-за границы КЗ из близлежащих строений и транспортных средств;

из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект защиты;

при посещении организации посторонними лицами;

за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так с помощью технических средств АС, так и через Сети.

Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности)

Для защиты конфиденциальной информации используют сертифицир. по требованиям безопасности информации технические средства защиты информации

Организация работ по защите информации возлагается на руководителей организаций, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) организации.

Рекомендуются следующие стадии создания системы защиты информации:

предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта информатизации;

стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

4. требования и рекомендации по защите речевой конфиденциальной информации

4.1.1. Требования и рекомендации настоящего раздела направлены на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП, в системах звукоусиления (СЗУ) и звукового сопровождения кинофильмов (СЗСК), при осуществлении её магнитной звукозаписи и передачи по каналам связи.

5. требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах

5.1.2. Основными направлениями защиты информации являются:

обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД и специальных воздействий;

обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

5.1.3. В качестве основных мер защиты информации рекомендуются:

-- док-тальное оформление перечня сведений конф характера

-- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, док-там

-- ограничение доступа персонала и посторонних лиц в защищаемые помещения

-- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам

-- регистрация действий

-- учет и надежное хранение бумажных и машинных носителей конфиденциальной информации

-- резервирование технических средств, дублирование массивов и носителей информации

-- использование сертифицированных средств защиты информации

-- использование сертифицированных систем гарантированного электропитания

-- использование защищенных каналов связи

-- организация физической защиты помещений и собственно технических средств обработки информации

5.2.2. В организации должны быть док-тально оформлены перечни сведений конф характера, подлежащих защите. Все исполнители должны быть ознакомлены с этими перечнями

5.2.3. АС, обрабатывающие конфиденциальную информацию, должны защищаться в соответствии с требованиями настоящего док-та и РД Гостехкомиссии России.

Так АС, обрабатывающие информацию, содержащие сведения, составляющую служебную тайну, или персональные данные, должны иметь класс защищенности не ниже 3Б, 2Б и 1Г или 3Б, 2Б и 1Д соответственно

5.6.3. Средства защиты информации от НСД должны использоваться во всех узлах ЛВС

5.7.4. для защиты АС при ее взаимодействии с другой АС по каналам связи необходимо использовать:

в АС класса 1Г - МЭ не ниже класса 4;

в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше

разграничение доступа пользователей к объектам БД (таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п.), может осуществляться только средствами СУБД;

регистрация действий пользователей при работе с объектами БД может осуществляться и средствами СУБД

при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные сертифицир. средства защиты информации от НСД, либо имеющие соответствующие сертифицир. дополнения в виде СЗИ НСД.

Оставить комментарий © Copyright Loclay Размещен: 10/02/2014, изменен: 10/02/2014. 568k. Статистика. Статья: Поэзия Иллюстрации/приложения: 1 шт.		Ваша оценка:
Аннотация: Ответы к вопросам

Loclay : другие произведения.

2012-v01-Программа Государственного Междисциплинарного Экзамена по специальности 090103